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Az MVF-közösség 


NYÍLT NAPOK VOLTAK PRÁGÁBAN, 
A MICROSOFT 400 MVP 

(MosrT VALUABLE PROFESSIONAL) 
SZAKÉRTŐT LÁTOTT VENDÉGÜL 

A KELET-EURÓPAI, KÖZEL-KELETI 
ÉS AFRIKAI RÉGIÓ 28 ORSZÁGÁBÓL. 


int ismeretes, az MVP címet 

a Microsoft azoknak a 

szakértőknek ítéli oda, akik 
elméleti tudásukat és gyakorlati tapasz- 
talataikat önkéntesen és aktívan meg- 
osztják a felhasználókkal, a világ külön- 
féle online és , offline" közösségeivel. 
A Microsoft az 1990-es évek elején indí- 
totta el az MVP Awards Programot, hogy 
elismerje a nagyközönség azon tagjai- 
nak munkáját, akik idejüket és tekinté- 
lyes műszaki szakértelmüket a többi fel- 
használó megsegítésére, támogatására 
fordítják. A címmel rendelkező szakértők 
között vannak publikáló szerzők — cikkei- 
ket rendszeresen olvashatják például itt, 
a TechNet Magazin hasábjain is — , Mic- 
rosoft-termékhez kapcsolódó webhely 
üzemeltetők, nyilvános előadók, oktatók 
és professzionális fejlesztők is. Világvi- 
szonylatban több mint 2600 MVP létezik, 
akik 81 országot és 32 nyelvet képvisel- 
nek. Kelet-Európában 65-en nyerték el a 
megtisztelő címet. Az MVP program Ma- 
gyarországon 2003 nyara óta működik, 
jelenleg hét MVP címmel rendelkező 
szakértőnk van. 
A prágai program során a résztvevők 
különböző technikai és fejlesztői témájú 
előadásokat hallgathattak meg, többek 
között olyan témákról, mint a mobil tech- 
nológiák terjedése, a Visual Studio 
2005, az Exchange Server, a Cluster 
technológiák, illetve az Internet Explorer 
7.0 újdonságai. A program keretében 
sor került a Culminis nevű nemzetközi 


kezdeményezés bemutatására is, 
amelynek célja az MVP-k és a megol- 
dásszállítók együttműködésének kiala- 
kítása. 

S hogy mit jelentett a magyar MVP-knek 
a prágai találkozó? Íme két vélemény: 

, A szakmai tartalom, és a számos tech- 
nikai újdonság mellett az esemény leg- 
nagyobb jelentőségét abban látom, 
hogy egy kicsit kimozdította a részt- 
vevőket abból az internet központú , on- 
line világból", amelyben nap mint nap 
élünk, és lehetőségünk nyílt valós em- 
beri kapcsolatok kialakítására. Ezentúl 
az e-mail címek, becenevek sokkal töb- 
bet mondanak majd számomra, hiszen 
azokhoz egy arc, egy ember is társul 
majd." (Subicz Péter, Windows Server 
System - Exchange Server MVP) 

, A Nyílt Napokon lehetőségünk volt sze- 
mélyesen találkozni és beszélgetni red- 
mondi Visual Studio fejlesztőkkel, akik 
bemutatták, jelenleg hol tart a termék a 
fejlesztésben, mi várható a következő 
Beta változatban, és előreláthatólag mi 
az, amit a végleges Visual Studio 2005 
fog tudni. Az esemény óriási lehetőség 
volt számunkra, hiszen közvetlenül a 
Microsoft szakembereitől kaphattunk 
részletes információkat." (Soczó Zsolt 
ASP.NET MVP) 


http: / www.microsoft.com/ mvp 
http:// www.microsoft.com / communities / 
http: / www.culminis.com / 
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VVMII Scripting SAE 
BEVEZETÉS A WMI HASZNÁLATÁBA 


Remote shutdown, DNS rekord hozzáadása, 
service újraindítás, netán share létrehozás, 
mindez távolról, kódból és nagyon 
egyszerűen? A válasz: VVMI! 





Az ADJAM címtár 


használata I. 
ADAM BELÜLRŐL 


Nagyjából másfél évvel ezelőtt jelent meg 
a TechNet Magazin oldalain az ADAM 
címtárról szóló első cikkem, amelyben általánosságban mutattam be 
az akkor még újdonságnak számító szoftvert. Azóta ADAM kicsit 
idősebb lett (bár új verzió nem jelent megj), született néhány olyan 
alkalmazás, amely ezt a címtármegoldástis használja, itt az ideje, 
hogy részletesebben is megismerkedjünk vele. 





ASP.NET 2.O je A 
(Wwhidbey) s — 


§ z Z ét értesítés kéréssel 
Mi VÁRHATÓ A 2005. Évi 
ASP.NET-BEN? IV. RÉSZ 


z 
ELAZÁTOSZÁES Ti Vátozást előidöző 
varancs 


tt tárolódik az üzenet 


Az ASPR.NET Cache WB AeSórtadolgózáá; — Í Service Brokor SERVICE 

ús rtesítés vissza a ht kapjuk meg az 
és az SOL Server 2005 hívónak üzenetet a vátozásról 
együttműködése 





vVVindovws 
szolgáltatások 
/.réesz 


LOCALSYSTEM A Mi VÁRUNK 


Újra tekintélyes mennyiségű VVindovws 
Server 2003 szolgáltatás 
működését, jellemzőit ismertetjük meg 
sorozatunkban. 





IT folyamatok 
a hazai gyakorlatban 


ÉRTÉKELÉS 


Az elmúlt években sok (és sokféle) vállalatnál megfordultam, és azt 


tapasztaltam, hogy nemcsak az egyes szervezetek adottságai 
térnek el egymástól, hanem azt is, ahogyan ezeket kihasználják, 


ahogyan élni tudnak a lehetőségekkel. Idővel rá kellett jönnöm, hogy 


tökéletes vállalat nincs, mindig, mindenhol van mit javítani. 


VPN karantén s ja 
WINDOWS SERVER 2003 7 ISA SERVER elet 


2004 KÖRNYEZETBEN 

AVPRN csatlakozások számának 

növekedésével a VRN karantén 
e a e a 2 DNS T Fe] 

alkalmazása egyre többször kerül szóba. [95] Server]! Server ) 

















Ami a hivatalos Microsoft 
tanfolyamokból kimaract... 


ACTÍVE DIRECTORY - WEBES REGISZTRÁCIÓ (4. RÉSZ) 





Rovatunk e cikkében olyan weblapot készítünk, melynek segítségével 
a felhasználók maguk kérvényezhetik hozzáférési szándékukat a 
rendszerünkhöz, intranetünkhöz. Tehát az önregisztráció alapján 
automatikusan létrehozzuk a felhasználó account-ját, és szük- 
séges beállításait az AD-ben. Továbbá felépítjük az ellenőrzési, jóvá- 
hagyási struktúrát úgy, hogy mindez egy webes felüle 

könnyedén legyen követhető minden szereplő számára. 














Dr VVatson 


SSL-TANÚSÍTVÁNYKÉRÉS ISA SERVER 
SZÁMÁRA AVAGY MINEK NEKEM 
IIS A TŰZFALRA? 





Ebben a cikkben leírom, hogyan lehet 
megvalósítani egy külső hitelesítés- 
szolgáltató által kibocsátott tanúsítvány segítségével a biztonságos 
SSL) kapcsolatot azISA Server 2004 és a külvilág között. 
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VVMI Scripting 


BEVEZETÉS A WMI HASZNÁLATÁBA 





Remote shutdown, DNS rekord hozzáadása, service 


újraindítás, netán share létrehozás, mindez távolról, kódból 


és nagyon egyszerűen? A válasz: VVMII! 


WMI (Windows Management Instrumentation) célja 

egy olyan szabványos interface megvalósítása, 

amely könnyűvé és egységessé teszi a számítógé- 
pes rendszerek menedzselését. A WMI a WBEM (Web Based 
Enterprise Management) szabvány Microsoftos megvalósítá- 
sa, amelyet a DMTF (Distributed Management Task Force) 
nevű független társaság definiált. A társaság tagjai többek 
között a piac vezető nagyvállalatai. A WBEM szabvány egy 
általános nagyvállalat szoftver és hardver eszközeinek egy- 
séges menedzsment-követelményeit definiálja. 
A standard több más definíciót is magába foglal, amelyek kö- 
zül a legfontosabb a CIM (Common Information Model), 
amely osztályok hierarchiájával és különféle kapcsolataival ír- 
ja le egy általános számítógéprendszer szerkezetét. Minden 
osztály egy eszközt/területet reprezentál. A CIM több mint 300 
osztálya tartalmazza pl. a CIM LogicalDisk osztályt, amely 
egy filegsystem partíciót reprezentál, a CIM Fan osztályt, 
amely a processzorhűtő ventilátor, a CIM Process osztályt, 
amely egy futó processz, és még sok-sok más osztályt. A 
DMTF csapat úgy készítette el a CIM szabványt, hogy az va- 
lóban lefedje egy számítógépes rendszer minden elképzel- 
hető komponensét, viszont ne legyen operációs rendszer 
specifikus, tehát ne legyen pl. CIM Registry osztály, amely a 
Windows operációs rendszerre jellemző. A CIM szabvány az 
objektum orientáltság lehetőségeit kihasználva, a különböző 
osztályok között öröklődési kapcsolatokat definiált. Ennek kö- 
szönhetően egy jó adag absztrakt osztályt is létrehoztak, mint 
például a CIM LogicalElement. A következő ábra a CIM Pro- 
cess osztályt, annak őseit és gyermekeit mutatja be: 


(EJ CIM ManagedSystemElement 
CIM PhhysicalElement 
CIM LogicalElement 
(0 ím Win32 PageFilellsage 
fej Win32. Registry 
E-CI ÍR] CIM. SoftwareFeature 


-- (EJ ETHZEAES 


(7 (mt) Win32 Process 





im 





TECHNOLÓGIA o 


Ne feledjük el, hogy a WMI a WBEM szabvány Microsoftos 
implementációja, így a CIM szabvány Microsoftos megvaló- 
sításának akarva-akaratlanul is tartalmaznia kell különböző 
Windows-specifikus osztályokat, pl. a registry, a hálózati 
megosztások és az eseménynapló bejegyzéseinek kezelésé- 
re. Az előbbi ábra bemutatta, hogyan valósítja meg a WMI a 
CIM. Process osztályt: az öröklődési fában végül Win32. Pro- 
cess lesz belőle: az ebből az osztályból létrejött példányokat 
fogjuk lekérdezni, ha a rendszeren futó processzekkel szeret- 
nénk dolgozni. Hogy miért nem jó nekünk a CIM. Process? A 
válasz egyszerű: A CIM. Process osztály a CIM szabvány ál- 
tal definiált tulajdonságokat és metódusokat tartalmazza, 
amely nem teljesen fed le egy Windows-on futó processzt: 
kell még neki pár tulajdonság, ami nincs benne a szabvány- 
ban, pl. HandleCount, ExecutablePath és PageFileUsage, 
amelyek teljesen Windows-specifikus tulajdonságok, tehát le- 
származtatjuk a CIM Process osztályt, és kiegészítjük még 
pár Windows-specifikus tulajdonsággal, és már megis van a 
Windows-os processz osztályunk. Ugyanez a helyzet a to- 
vábbi jó pár osztály nagy részével. 





180 Win32 Process 
Properties of an object are values that are usedtö ek 








EH LG Caption string 
pl EJ Commandline string 
[o JE" CreationClassName string 
! ]  £7 CreationDate datetime 
Hi L CSCreationClassName string 
Hi £ CSName string 
va S Description string 
I ] EH ExecutablePath string 
I ]  .£ ExecutionState "int 16 
B AL Handle string 
CL HandleCount "int 22 


A WMI használata lényegében ezekkel az osztályokkal és a 
belőlük készített példányokkal történő játék. Az egész dolog 
nagy előnye, hogy nem kell ismernünk pl. a processzek ke- 
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nw 
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zeléséhez, vagy share-ek készítéséhez/lekérdezéséhez 
[megszüntetéséhez szükséges API-kat, elég csupán egy 
COM library használatát elsajátítanunk, amelyen keresztül 
hozzáférhetünk a WMI adatbázishoz. A WMI elérését biztosí- 
tó COM library-n kívül a .NET framework is lehetőséget nyújt 
a szolgáltatás elérésére, amelyet szintén bemutatok. 

A WMI minden 32 bites Windows-on elérhető. A WMI ponto- 
san úgy használható távolról, mint helyileg. A WMI a legjobb 
barátod. Oo 


Osztályok/példányok/ 

metódusok/ tulajdonságok 

Ahogy az az előbbi mondatokból kiderült, a WMI programo- 
zása nem más, mint osztályok és azok példányainak lekérde- 
zése, különböző tulajdonságok kiolvasása és metódusok 
meghívása. Vegyük példaként a már jól ismert Win32. Pro- 
cess osztályt, amely az operációs rendszeren futó user mó- 
dú processzt reprezentálja. Az osztály pár tulajdonságát már 
láthattuk az előző ábrán. 

Ha szeretném megtudni, hogy milyen processzek futnak az 
oprendszeremen, futtatok egy WMI lekérdezést, amely lekér- 
dezi az összes Win32. Process típusú objektumot. A lekérde- 
zés eredménye az összes futó processz (Win32. Process pél- 
dányok) összes WMI-on keresztül elérhető tulajdonsága lesz 
(lásd az előbbi táblázatban). Ahogy a táblázatban láthattuk, 
a processz osztály egyedi azonosítója a Handle mező, amely 
lényegében a processz azonosítója. A Handle elnevezés 
kompatibilitási okokból maradt (a CIM Process CIM definíció 
a Handle mezőt definiálja egyedi azonosítóként). Ugyanez az 
ID megtalálható a Processld mezőben is (ami a Win32. Pro- 
cess osztály saját tulajdonsága). 

Ha szeretném leállítani az 1560-as azonosítójú processzemet, 
nincs más teendőm, mint lekérdezni az 1560-as azonosítójú 
Win32 Process WMI objektumot, és meghívni annak Termi- 
nate metódusát. A következő képernyőkép a processz osz- 
tály metódusait tartalmazza: 





! a Win32. Process 


Properties . Methods ] Associations )] 


The methods tab shows the methods that may be api 





A AttachDebugger 


RT Create 


ÁV GetOwner 
ÉV GetOwnerSid 
ÉV SetPriortty 
HI Terminate 


Ugyanilyen egyszerű egy Windows service (Win32. Service 
class) elindítása: lekérdezem a service-emet a neve alapján, 
és meghívom annak StartService metódusát. 


Kapcsolódás 

Ahhoz hogy hozzáférhessünk a WMI szolgáltatásaihoz, 
először kapcsolódnunk kell a WMI service-hez. A kapcsoló- 
dás nagyon egyszerű, hasonlít egy ADO-SOL adatbázis kap- 
csolat létrehozásához: 


Set objLocator — 
4 CreateObject("WbemScripting.SWbemLocator") 


Set objSevices — 
b objLocator.ConnectServer("dszabotitanium") 


Az előbbi példa a dszabotitanium nevű géphez kapcsolódik, 
használva a domain-be bejelentkezett felhasználóm jogosult- 
ságait. Ezen felül lehetőség van explicit felhasználónév/jelszó 
megadására is, amelyek a hálózati konfiguráció és a kapcso- 
lódási paramétereknek megfelelően vagy Kerberos vagy 
NTLM használatával jutnak el a szerverhez. A WMI biztonság- 
technikailag teljesen integrált a DCOM-mal, ugyanis minden 
WMI kérés DCOM-on keresztül továbbítódik, ami viszont 
RPC-n, mindez azt jelenti, hogy a legújabb operációs rend- 
szerek/biztonsági frissítések (Windows 2003 vagy Windows 
XP SP2) alkalmazása esetén a WMI szerveren külön oda kell 
figyelnünk a különböző TCP portok nyitására és DCOM kom- 
munikáció engedélyezésére. Mindezekről később részlete- 
sebben írok. 

Ott tartunk tehát, hogy bekapcsolódtunk a WMI szerverünk- 
re. Ahogy a példából láthattuk, ha COM-ot szeretnénk hasz- 
nálni a WMI elérésére (VB6-ból, VbScript-ből, C-----ból vagy 
bármilyen COM-kompatibilis nyelvből), a WbemScripting Li- 
brary-t kell használnunk (7.SystemRoot?otsystem3Awbem 
(wbemdisp.tlb). Ha .NET-et szeretnénk használni, a System.- 
Management namespace-t használjuk. 


A WMII Scripting COM library 
főbb osztályai: 
mum SwbemlLocator: a kapcsolódáshoz használatos osztály 
m SwbemServices: a kapcsolatot reprezentáló osztály. 
Ezen az osztályon keresztül tudunk lekérdezéseket fut- 
tatni, stb. ADODB.Connection megfelelője) 
m SwbemObject: egy osztályt vagy osztály példányt rep- 
rezentál (ADODB.Record megfelelője) 
m SwbemObjeciSet: lekérdezésnél az eredményt ilyen 
objektumként kapjuk (ADODB.RecordSet itteni megfe- 
lelője) 


Sikeres kapcsolódás esetén egy SwbemServices objektumot 
kapunk vissza, amin keresztül pl. lekérdezhetjük a rendszer- 
ben futó összes processzünk összes mezőjét: 


Dim objProcesses as WbemScripting.SwbemObjectSet 
Set objProcesses - objServices.Execguery( 
$ "SELECT " FROM Win32 Process") 


A lekérdezés nyelve ördögien hasonlít az SOL-ben megszo- 
kotthoz. Úgy mint az SOL, ez is az ANSI SOL szabványnak 
megfelelő, és a WOL (WMI Guery Language) névre hallgat. A 
lekérdezésünkben a WMI osztályokat fogjuk fel adatbázis- 
táblákként, ahol a különböző példányok egy-egy rekordként 
vannak jelen. Minden példányt egyedi azonosítója teszi egye- 
divé. Fontos, hogy a lekérdezésünket ne túl pazar módon ál- 
lítsuk össze, ugyanis akárhogy is futtathatunk SOL-hez ha- 
sonlító lekérdezéseket a WMI adatbázisban, a WMI mégsem 
SOL Server. Az adatok lekérdezése , on the fly" történik, azaz 
a WMI service (amely Windows service-ként fut a szerveren) 
a kérést az adott WMI osztály provider-éhez továbbítja, amely 
válaszként előállítja az eredményt, amely bizonyos esetekben 
költséges is lehet. Tehát mindig figyeljünk oda, milyen 
mezőket kérdezünk le, ugyanis lehetnek olyan mezők, ame- 











lyeknek előállításához hosszú másodpercekre is szükség le- 
het. Miután megkaptuk az eredményt, fűzzük össze egy 
string-be, és jelentsük a képernyőn: 


Dim objProcess as WbemScripting. SwbemObject 
Dim strSumProcesses as String 


strSumProcesses -— "Processzek száma: " § 
$4 objProcesses.Count g§ vbCrlf 8 vbCrlf 


For Each objProcess In objProcesses 
strSumProcesses - strSumProcesses 8 
4 objProcess.Caption 8. vbCrlf 

Next 


MsgBox strSumProcesses 


Mindez Ct-ban a következő képen nézne ki: 


// Connection point és guery összeállítása 
ManagementScope scope - new 
4 ManagementScope(e"Wydszabotitanium "); 


ManagementObjectSearcher searcher - new 
4 ManagementObjectSearcher(scope, new 
4 Objectguery("select " from Win32 Process")); 


// Lekérdezés futtatása 
ManagementObjectCollection result - 
$4 searcher.Get(); 


Console.WriteLine("Processzek száma: " 4 
$ resült.Count 4 ""n"); 


// Eredmény végiggörgetése 

foreach (ManagementObject process in result) ( 
Console.WriteLine( 
4 process["Caption"].ToString()); ) 


Vissza a COM library-hoz: kapcsolódáskor egy SwbemServi- 
ces típusú objektumot kaptunk, amelynek az ExecOuery me- 
tódusával futtattuk a lekérdezésünket. Ha viszont csak egy 
objektumot szeretnénk visszakapni, amelynek tudjuk az 
egyedi azonosítóját, felesleges lekérdezést futtatnunk. Erre 
való a Get metódus, amelyet a következőképpen tudunk 
hasznosítani: 


Dim objProcess As WbemScripting.SwbemObject 
Set objProcess -— 
4 objServices.Get("Win32 Process.Handle-1512") 


A Get metódus futásának eredménye az lesz, hogy vissza- 
kapjuk az 1512-es azonosítójú processzt egy SwbemObject 
formájában. Fontos megjegyezni egy újabb hangsúlyos SOL- 
től való szerkezeti eltérést: míg az SOL adatszerkezetek az 
adatbázis motor optimalizált működéséhez készülnek, addig 
a WMI valós eszközök modellezésére született, így előfordul- 
hat, hogy bizonyos osztályoknak két vagy több egyedi azo- 
nosító mezője is van. Ilyenkor ezeket együtt kell használnunk. 
Példa erre a Win32. Product osztály, amely egy telepített 
szoftver terméket reprezentál. Ennek az osztálynak 3 egyedi 
azonosítója van: IdentifyingNumber, Name és Version. Egy 
terméket csak ezzel a 3 azonosítóval együtt tudunk egészen 
biztosan egyedileg azonosítani. A kulcsmezők definíciója az 
osztály többi mezőjével együtt az osztály definíciójában sze- 
repel. 





A következő példa az előbb lekérdezett processzünket állítja le: 


objProcess . Terminate 


Ilyen egyszerű. Ha a metódusnak paramétere is van, a Szo- 
kásos módon, a következőképpen hívjuk: 


objProcess.SetPriority(22) 


Ha egy metódustól visszatérési értéket is várunk, a szokásos 
módon kezeljük: 


IngTerminateResult - objProcess.Terminate 


Fontos megemlíteni, hogy a tulajdonságok/metódusok lehet- 
nek statikusak is, ami azt jelenti, hogy a tulajdonság/metódus 
nem az osztályból létrehozott példányokon szerepel, hanem 
magán az alaposztályon. Ilyen például a Win32. Process osz- 
tály Create metódusa, amely új processz indítására szolgál. 
Ezt a metódust nincs értelme egy futó processz példányon 
meghívnunk: 


IngReturnValue -— 
4 objServices.Get("Win32 Process").Create( 
4. "CC: NWINDOWSASystem32motepad.exe") 


Monikerek 

WMI esetén is lehetőségünk van monikerek használatára. 
Akinek nem tiszta, a moniker a következőkből áll: egyfelől egy 
shortcutból (a registryben), amely COM objektumok egysze- 
rűsített létrehozására szolgál, másfelől egy sereg paramé- 
terből, amit a COM objektumoknak fel kell dolgozniuk. A kö- 
vetkező sor kód egy WMI kapcsolatot hoz létre, és lekérdezi 
a Terminal Service-t reprezentáló Win32. Service instance-t: 


Set objTermService -— 
4 GetObject("WinMgmts : / /dszabotitanium 
4 /root/cimv2/Win32 Service.Name-" TermService"") 


Példánkban a WMI moniker szintaxisa a következő: 


WinMgmts : / /Szervernév/Namespace/Wmi 
4 osztály.Kulcsmező-érték 


Ami ebből ismeretlen, az a Namespace (névtér), és itt el is 
kanyarodunk egy kicsit: a névtér arra való, hogy a különböző 
WMI osztályokat kategóriákba sorolhassuk. A CIMV2 (CIM 
version 2) névtér pl. a CIM szabvány által definiált osztályok 
és azok leszármaztatott gyermekosztályainak a tárolóhelye, 
a FrameworkvV1 a .NET Framework WMI osztályainak, a di- 
rectory nevű névtér az Active Directory osztályainak elkülöni- 
tésére szolgál. Kapcsolódáskor mindig csak egy azaz egy 
névtérhez kapcsolódunk, tehát normál esetben csak ennek 
a névtérnek az osztályait érhetjük el. Ha nem adtunk meg 
névteret, a root/CIMV2 névtérhez kapcsolódunk. A WMI tel- 
jes mértékben kiegészíthető új névterekkel és WMI provide- 
rekkel, azaz a kedves Olvasó is megírhatja saját WMI osztá- 
lyát, amelyet majd beilleszt a WMI nagy motorjába, így a ked- 
ves Olvasó által írt szoftver is WMI-aware lesz, amely minden 
rendszergazda álma. Oo 


Vissza a monikerekhez: a moniker a WMI programozó életét 
hivatott leegyszerűsíteni azzal, hogy különböző műveleteket 
egy sor kóddal megoldhasson. Így például a 


WinMgmts : 


moniker használatával egyszerűen a helyi WMI szerver 
CIMV2 (default) névteréhez csatlakozunk, míg a 


WinMgmts : / /dszabotitanium/Root/CIMV2 


alkalmazásával egy távoli WMI szerveréhez. A 


WinMgmts : //Win32 Share.Name-" Tools" 


moniker a Tools nevű hálózati megosztás WMI objektumát ad- 
ja vissza. 


Pár további érdekes példa: 

Kissé , useless", de gyakorlásnak nem rossz: a következő 
VbSceript példa a szerverünkre bejelentkezett felhasználók 
wallpaper képeinek elérési útvonalát dobja ki: 


Dim objServices 
Dim objUserDesktop 


"Kapcsolódás a helyi WMI service-hez 
Set objServices - GetObject("WinMgmts : ") 


"Végigiterálunk a bejelentkezett felhasználókon 
For Each objUserDesktop In objServices.Execguery( 
4 "SELECT Name, Wallpaper FROM Win32 Desktop 

4 WHERE Wallpaper c? !(None)"") 


wScript.Echo objUserDesktop.Name 8 "7: " 8 
$ objUserDesktop.Wallpaper 


Next 


A következő VbScript példa új IP címet kér a DHCP szervertől: 


Dim objServices 
Dim objNetworkAdapterConfig 
Dim objNetworkAdapterConfigs 


"Csatlakozás a helyi WMI szolgáltatáshoz 
Set objServices - GetObject( "WinMgmts : " ) 


"Lekérdezzük az ethernet adapter konfigurációját 
Set objNetworkAdapterConfigs - 

4 objServices.Execguery("SELECT § FROM 

4 Win32 NetworkAdapterConfiguration WHERE 

4 DhcpEnabled - TRUE and IpEnabled - True") 


"Vesszük az első Dhcp-s IP címet 
For Each objNetworkAdapterConfig In 
4 objNetworkAdapterConfigs 

Exit For 
Next 


"Eldobjuk az IP címet 
MsgBox "Click to release IP address" 
$4 objNetworkAdapterConfig.ReleaseDHCPLease 


"Újat kérünk a DHCP szervertől 
MsgBox "Click to renew IP address" 
$ objNetworkAdapterConfig .RenewDHCPLease 
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Jogosultság Hitelesítés 

A WMI névtér szintű jogosultság kezelést végez, ami azt je- 
lenti, hogy névterenként különböző jogosultsági listákat (ACL- 
eket) állíthatunk be. Mindez a wmimgmt.msc MMC snap-in- 
ből elérhető. 

A WMI alapértelmezésben NTLM/Kerberos hitelesítést alkal- 
maz. Ha ezt nem tudjuk vagy nem akarjuk használni, kapcso- 
lódáskor megadhatunk más felhasználónevet és jelszót is. 
Fontos tudnunk, hogy ha a helyi WMI szerverhez kapcsoló- 
dunk, csak a futtató felhasználó nevében intézhetünk kérése- 
ket (nem adhatunk meg más felhasználónevet/jelszót). Ez 
egy DCOM megszorítás. 

A továbbiakban a teljes jogosultság/hitelesítés kezelése meg- 
egyezik a DCOM-éval: impersonation, access checks stb. 


Hálózati elérés 

Gyakori probléma, hogy a WMI kérések elszállnak a szigorú 
tűzfal/alapkonfiguráció beállításai miatt. Ne feledjük, hogy 
mind az RPC, mind a DCOM elég igényesek ebből a szem- 
pontból. Minden eshetőségre felkészülve, készítettem egy 
checklist-et, amelyet a kedves Olvasó felhasználhat mind 
WMI, mind DCOM vagy RPC hozzáférési problémáinak 
megoldására: 


Elengedhetetlen 
beállítások: 

m Activation and Launch jogosultság a kérést intéző fel- 
használónak a szerver DCOM konfigurációjában 
(dcomcnfg). A DCOM általános beállítások módosítása 
után minden esetben újra kell indítanunk a szerverün- 
ket! 

m TCP port 135 (RPC root) nyitva a firewall-on 

m RPC port intervallumok definíciója a registry-ben (rész- 
letesen: [1]), és ezen portok nyitott állapota a firewall-on 
(a netsh.exe lehetővé teszi port intervallumok definiálá- 
sát Windows Firewall-on) 

m Ha aszinkron WMI műveleteket végzünk, ugyanezen 
beállításoknak meg kell lenniük a kliensen is! 


Hibaelhárítási 

lépések: 

1. A script futtatása a szerveren megmutatja, hogy a problé- 
ma hálózati eredetű-e 

2. Ping 

3. A Windows firewall logja megmutatja, hogy mely TCP port- 
ra próbált csatlakozni a kliens sikertelenül (Control panel 
2 Windows Firewall 2 Advanced 2 Security Logging) 

4. Ha explicit felhasználónevet/jelszót használunk (ugyanazt, 
mint a logon user-ünk), könnyen leellenőrizhetjük, hogy a 
probléma Kerberos eredetű-e. Ha a probléma így nem je- 
lentkezik, a Kerberos a hunyó. 

5. Ha a probléma Kerberos eredetű, a klist.exe vagy 
kerbtray.exe eszközök megmutatják, hogy milyen 
ticketünk van (vagy nincs 0) a WMI szerverre. Fontos, 
hogy ha a WMI szerverünket újraindítjuk hibaelhárítás köz- 
ben, a boot-olás után akár 1-2 percig is eltarthat, amíg Ker- 
beros kapcsolatot tudunk létesíteni vele. Eddig a pillana- 
tig viszont minden kérésünk sikertelen lesz. Az előbb em- 
lített eszközök arra is jók, hogy a cache-elt Kerberos je- 
gyeinket kidobjuk. 
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Dokumentáció 

Jó hír, hogy a WMI nagyon jól dokumentált. A kedves Olvasó 
leellenőrizheti, ha a [2] oldalon beírja bármely WMI osztály ne- 
vét, az eredménylista első eleme mindig az adott osztály do- 
kumentációja lesz. A megfelelő WMI osztály keresésére vi- 
szont a WMI Administrative Tools ingyenesen letölthető [3] 
csomag használatát javaslom. Feltelepítése után a WMI CIM 
Studio browser-ben települő ActiveX controllal bármilyen WMI 
szerverhez csatlakozva böngészhetjük a teljes osztályhierar- 
chiát, osztályokat kereshetünk név, vagy akár dokumentáció 
alapján, lekérdezéseket vagy listázásokat futtathatunk. 
Tipp: mindig fordítsunk külön figyelmet az alkalmazásunk 
(ha lehet mindegyik, de legalább a WMI 6 részének) külön- 
böző operációs rendszeren történő tesztelésére, ne felejtsük 
el, hogy a WMI egy Windows API felett álló réteget alkot, 
amely nagyban függ az alatta lévő réteg kompatibilitásától. 


Összefoglalás 
A WMI használatával nagyban leegyszerűsíthetjük alkalma- 
zásaink menedzsmentjét. Nagy előnye, hogy nem kell be- 
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leásnunk magunkat különböző technológiákba vagy proto- 
kollokba, egy egyszerűen programozható felületen keresztül 
elérjük bármilyen WMI kompatibilis alkalmazás management 
funkcionalitását. A Windows minden management funkciója 
elérhető WMI-on keresztül (software, hardware) is, ezen kívül 
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Az ADJAM címtár 
használata l. 


ADAM BELÜLRŐL 


Nagyjából másfél évvel ezelőtt jelent meg a TechNet Ma- 


gazin oldalain az ADAM címtárról szóló első cikkem, amely- 


ben általánosságban mutattam be az akkor még Újdonság- 


nak számító szoftvert. Azóta ADAM kicsit idősebb lett 


(bár új verzió nem jelent megj), született néhány olyan alka- 


Imazás, amely ezt a címtármegoldást is használja, itt 


az ideje, hogy részletesebben is megismerkedjünk vele. 


cikk első részében áttekintjük ADAM legfontosabb 

tulajdonságait, majd feltelepítünk egy ADAM pél- 

dányt, a vele érkező felügyeleti eszközök segítségé- 
vel rövid felderítőútra indulunk ADAM belső szervei közt, és 
végrehajtunk néhány kisebb műtétet is. A második részben 
pedig a .NET keretrendszer eszközeit vesszük elő, program- 
ból végzünk el néhány olyan műveletet, amelyet Active Direc- 
tory (különösen esetleg éles rendszer) esetében nem szíve- 
sen próbálnék ki: új alkalmazás-partíciót hozunk létre, bővít- 
jük a sémát, és néhány ezer (esetleg néhány tízezer) objek- 
tum létrehozásával próbára tesszük a címtár sebességét és 
skálázhatóságát. 


Ki is ez az ADAM? 

Az Active Directory Application Mode (ADAM) az Active Di- 
rectory speciális üzemmódja, amely a címtárat használó al- 
kalmazások fejlesztésekor számos különféle helyzetben 
előnyösen használható. Az ADAM nemcsak a tartományve- 
zérlőkön, hanem a tag kiszolgálókon, vagy önálló gépeken is 
futtatható, sőt több példányban is elindítható, és a példányok 
mindegyikéhez önálló beállításokat adhatunk meg. Sok alkal- 
mazásnak csak egészen egyszerű címtárra van szüksége. A 
tárolt információkat általában csak szűk körben kell elérni, és 
nincs szükség a teljes vállalatra kiterjedő replikációra sem. Az 
alkalmazások kiszolgálása más szolgáltatási módot igényel, 
mint amit a Windows hálózati infrastruktúra kezelésére szol- 
gáló Active Directory nyújtani tud. 

Mi a teendő például, ha egy alkalmazás, vagy portál igényei 
miatt néhány felhasználóról nyilván kell tartanunk olyan ada- 
tokat is, amelyek nem szerepelnek az AD-ben? Ha az AD sé- 
mát bővítjük, az egész erdőben replikálódni fognak a változ- 
tatások, egy nagyobb vállalat esetében ez hosszadalmas, 
bonyolult, és erőforrás-pazarló megoldás. Ha viszont létreho- 
zunk egy ADAM példányt, amely az extra tulajdonságokat tá- 
rolja, az alkalmazás a felhasználók hitelesítésére továbbra is 
használhatja az AD-t (ez sok szempontból kellemesebb 


1 EG FEGHNEDLÜG MARK 


a 





megoldás, mint az ADAM alapú hitelesítés), az extra informá- 
ciókat pedig az ADAM példányhoz fordulva érheti el. 

ADAM használatával az alkalmazások címtárai folyamatosan 
fejlődhetnek, változhat a séma és a replikációs beállítások, 
hogy a fejlesztés alatt álló alkalmazással együtt növekedhes- 
sen a hozzá tartozó címtár is. Az ADAM példányok külön-kü- 
lön módosíthatók, nincs szükség egyetlen alkalmazás miatt a 
teljes vállalat címtár-struktúrájának megváltoztatására. 

Az ADAM a címtárat megvalósító szolgáltatásból (ennek kód- 
bázisa megegyezik az Active Directory-val), a hozzá tartozó 
adatbázisfájlból, valamint a hozzáférést biztosító csatolófelü- 
letekből áll. 


menti 


Az ADAM felépítése 


Replikáció 

Az ADAM az Active Directoryval megegyező multi-master 
replikációs modell szerint működik, így az adatok a repliká- 
cióban részt vevő bármelyik adatbázisban módosíthatók. Az 
ADAM hasonlóan az Active Directory-hoz lehetővé teszi a te- 
lephelyek közötti replikáció ütemezését és az átvitt adatok tö- 
mörítését is. Ha az alkalmazások adatait az Active Directory- 
ban tároljuk, azok replikációja csak a teljes adatbázissal 
együtt történhet. Az ADAM használatával az alkalmazások 
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adatainak replikációja azok speciális igényeinek megfelelően 
is ütemezhető. Természetesen lehetőség van akár egy gépen 
belül az ADAM példányok közötti replikációra is. 


Telepítés 

Az ADAM a Windows Server 2003 kiegészítő komponense, a 
Microsoft külön csomagban terjeszti azt. A csomag letölthető 
az [1] címről. Négy letölthető fájl közül választhatunk, mivel a 
szoftver létezik x86 és IA64 platformra, valamint van végfel- 
használói (retail) és viszonteladói (redistributable) változat is, 
amelynek licence lehetővé teszi, hogy az általunk készített al- 
kalmazásokhoz csomagolva továbbadhassuk azt. Az exe fájlt 
kibontva, a telepítést az adamsetup.exe futtatásával indíthat- 
juk el. A telepítő első képernyőjén azt kell kiválasztanunk, 
hogy az ADAM-ot és felügyeleti eszközeit, vagy csak a felü- 
gyeleti eszközöket szeretnénk telepíteni. A felügyeleti eszkö- 
zök természetesen képesek távoli gépeken futó ADAM pél- 
dányokhoz való csatlakozásra is. Ezután meg kell határoz- 
nunk, hogy egyedi példányt (unigue instance), vagy már 
meglévő példány replikáját (replica of an existing instance) 
szeretnénk telepíteni. A második opció használatával kön- 
nyen megoldható az ADAM példányok másolása, ha például 
arra van szükség, hogy a nagy munkával beállított, egyedi sé- 
mával felszerelt példányunkat másik gépre telepítsük át. A te- 
lepítő ebben az esetben minden sémaváltozást átvisz az új 
példányra is. Ezután meg kell adnunk az új ADAM példány 
nevét, és azokat a portokat, amelyeken keresztül elérhető 
lesz. Alapértelmezés szerint az ADAM a 389-es és a 636-os 
(SSL esetén) portot figyeli, de természetesen minden egyes 
példány számára külön portszámokat kell megadnunk. A te- 
lepítő utolsó kérdése arra vonatkozik, hogy szeretnénk-e al- 
kalmazás partíciót létrehozni a telepítés során: 





í7 Active Directory Application Mode Setup Wizard 










Application Directory Partition 
An application dírectory parton stores applicaton-speciic data 


Do youwantto create an application directory partiton for this instance of ADAM? 

C Ng.donotcreate an application dírectory partiton 
Selctttis option ifthe applicafon hatyou planto install ereatos an application díreciory upon 
installation, or ifyou plan to create one later. 


(6 Yes. create an applicaton directory parton 
ölés ie KKÁTÁST ÁK e EGÉSTTT GÉ KÉBS TEST 


installation. A ! 
SFHEsstáres[Esártélő 


name 


Partition 
[CNeAppParttton, DCstalatrax. DCshu 
kéne [sins 


Alkalmazás partíciót is létrehozunk 








ADAM az adatokat hierarchikus felépítésű címtár-fájlban tá- 
rolja, amelynek alapértelmezett helye: 

Program FilesMicrosoft ADAMVcpéldány neve? 

4 WDatavadamntds.dit 

A tároló logikai partíciókra, vagy másik terminológia szerint név- 
terekre (naming contexts) van felosztva. Három partíciótípust 
különböztetünk meg: konfigurációs, séma és alkalmazás par- 
tíciókat. Minden címtárban kötelezően van egy, és csakis egy 
konfigurációs és séma partíció, így ezek az ADAM telepítése- 
kor automatikusan létrejönnek. Alkalmazáspartícióból viszont 
több is lehet, ezek közül egyet létrehozhatunk a telepítés során, 
de később is gyárthatunk újakat, amint azt ki is fogjuk próbálni 
az Ldp program, és .NET komponensek segítségével is. 


A három partíciótípus szerepe a következő: 

m Konfigurációs partíció — ez a partíció az ADAM példány 
beállításait tartalmazza, ide kerülnek például a repliká- 
cióval kapcsolatos paraméterek, a biztonsági beállítá- 
sok, stb. 

m Séma partíció - itt tárolódnak a címtárban definiált ob- 
jektum és attribútum típusok. A séma partícióban nem- 
csak a , gyári" elemeket találhatjuk meg, hanem ide ke- 
rülnek azok az objektum típusok és attribútumok is, 
amelyekkel mi magunk bővítjük a sémát. Ha a címtár- 
ban új objektumot szeretnénk létrehozni, a definíciónak 
(osztálynak) szerepelnie kell a séma partícióban. 

m Alkalmazás partíció — ebben a partícióban tárolódnak az 
ADAM címtárat használó alkalmazások egyedi informá- 
ciói. Külön partíciót hozhatunk létre minden kapcsolódó 
alkalmazáshoz, vagy egyetlen alkalmazás különböző 
igényeinek kiszolgálására. Az alkalmazás partícióban 
olyan tárolókat (containers), és objektumokat hozhatunk 
létre, amelyek típusa, és attribútumai a séma partícióban 
szerepelnek. Minden alkalmazáspartícióra önálló tárolá- 
si, terjesztési és replikációs beállítások adhatók meg. 


Minden partíciónak (és minden más címtárobjektumnak is) 
van egy megkülönböztető neve (distinguished name, DN), 
ezt kell megadnunk a létrehozáskor, és ezzel hivatkozhatunk 
rá később is. Ha új partíciót szeretnénk létrehozni (akár a te- 
lepítőből, akár más módszerrel), ezt a nevet kell megadnunk. 
A név több részből áll, amelyek mindegyike a hierarchikus 
struktúra egy csomópontját azonosítja, hasonlóan a fájlrend- 
szerbeli útvonalakhoz. Minden rész egy DN attribútumból és 
a hozzá tartozó értékből áll. Az attribútumok a következők le- 
hetnek: 

m DC - tartománynév összetevő (Domain Component) 
C - ország (Country) 
L - hely (Location) 
0 - szervezet (Organization) 
OU - szervezeti egység (Organizational Unit) 
CN - objektumnév (Common Name) 


Hozzunk létre a telepítőben egy alkalmazás partíciót, amely- 
nek megkülönböztető neve: 

CN-AppPartition, DC-falatrax, DC-hu 

A következő képernyőn megadhatjuk a címtárfájl tárolómap- 
páját, majd ki kell választanunk azt a felhasználói fiókot, 
amelynek nevében az ADAM példányt megvalósító rendszer- 
szolgáltatás fog futni. Minden példány külön Windows szol- 
gáltatást hoz létre, így természetesen a futtató felhasználó is 
különböző lehet valamennyi példány esetében. Ezután 
megadhatjuk azt a felhasználói fiókot, vagy csoportot, amely- 
nek joga lesz az adott példány felügyeleti műveleteinek el- 
végzésére. A telepítés utolsó lépéseként kiválaszthatjuk az 
ADAM telepítőcsomagban érkező LDIF fájlok közül azokat, 
amelyeket már most szeretnénk a címtárba importálni 
(később a parancssori Idifde.exe program használatával vé- 
gezhetjük el ugyanezt a műveletet). Az LDIF fájlok ebben az 
esetben ,csak" a sémát bővítik, de mivel az LDIF a címtárak 
közötti replikáció szabványos formátuma, segítségükkel bár- 
milyen más művelet is elvégezhető. Importáljuk az ,MS-U- 
ser.Idf" fájlt, amely új objektum (person, user, stb.) és attribú- 
tum típusokat (title, user-comment, picture, stb.) ad hozzá a 
séma partícióhoz. 


Ha a telepítő sikeresen lefutott, az ADAM felügyeleti eszközeit a 
SSYSTEMROOT96 VADAM 

mappában találhatjuk meg, a rendszerszolgáltatások közé 
pedig bekerül az ADAM. cpéldány neve: néven futó szolgál- 
tatás, amely rendszerindításkor automatikusan elindul. 

Ha újabb példányt telepítünk, a telepítőprogram már másik 
portot ajánl fel az új példány eléréséhez (alapértelmezés sze- 
rint 50001, és 50002), és az egyes példányok eltávolítását is 
egymástól függetlenül végezhetjük el. 


Az ADAM felügyeleti eszközei 

Mivel az ADAM az Active Directory egy üzemmódjának tekint- 
hető, a felügyelet az ott megismert eszközök módosított vál- 
tozataival végezhető el. Az ADAM felügyeleti eszközei az al- 
kalmazással együtt kerülnek telepítésre: 

m Ldp(Ldp.exe) - az Idp segítségével (ami igen egysze- 
rű, de grafikus felhasználói felülettel működik) LDAP 
műveleteket végezhetünk az ADAM címtáron. 

m Ldifde (Idifde.exe) — a program segítségével végez- 
hető el a speciális formátumú LDIF fájlok címtárba im- 
portálása, és a címtáradatok fájlba exportálása is. (A te- 
lepítőprogram is ezt az eszközt használta az ,MS-U- 
ser.Idf" fájl importálásához.) 

m Az ADAM Schema mmc modul segítségével megjele- 
níthetjük és módosíthatjuk az ADAM címtár sémáját. 

mum Az ADAM ADSI Edit (ADAM-adsiedit.msc) az ismert 
ADSI Edit eszközön alapul, és lehetővé teszi a címtár 
valamennyi objektumának (a sémának és a beállítási 
adatoknak is) megjelenítését, az objektumok módosítá- 
sát és a hozzáférés vezérlési listák szerkesztését. 





Indítsuk el elsőként az ADAM ADSI Edit modult, és vizsgáljuk 
meg a címtár felépítését. Kattintsunk jobb gombbal az ADAM 
ADSI Edit sorra, és válasszuk a Connect to. . . parancsot. Ad- 
juk meg a megfelelő adatokat, és a , Well-known naming con- 
texts" listában válasszuk ki a Configuration sort. 


Connection Settings Hi 
Connection name: 


My Connection 


Server name: Port 
localhost r] 389 


Connect to the following node: 
C Distinguished name (DN) or naming context: 


"] 
(6. wWell-knoven naming context: 


Configuration v 


Connect using these credentials: 
(ő The account of the currently logged on user 


C This account: 
[e " ] 


Felhasználónév: 


Jelszó: 





Láthatjuk, hogy a Configuration névtér legfelső konténerének 
neve: CN-Configuration, CN-(GUID]. Ebben találhatjuk meg 
a CN-Partitions konténert, amely tartalmazza a címtár vala- 
mennyi partíciójának DN-jét. 

Ha csatlakozunk a Schema partícióhoz is, láthatjuk, hogy az 
egyetlen konténerből áll. amelynek neve CN-Schema, 
CN-Configuration, CN-(GUIDJ]. Ebben találhatók a címtár- 
ban létrehozható objektumok osztály és attribútum típusai. 
Ezek egyik része, a címtár alapértelmezett készletéhez tarto- 
Zik, míg másokat mi magunk hoztunk létre, amikor a telepítés 
során beimportáltuk az ,MS-User.Idf" fájlt. Ha egy kicsit előre 
gondolkodunk, máris kezdhetünk aggódni, hogyan is fogunk 
programból hozzáférni ezekhez a partíciókhoz, ha nem tud- 
juk , fejből" a DN-jükben szereplő GUID értéket. Szerencsére 
létezik egy harmadik névtér is, az úgynevezett RootDSE, 
amely akár bejelentkezés nélkül is minden odatévedő prog- 
ram számára olvasható, és amelynek tulajdonságai között 
megtalálhatjuk a keresett információt. A , configuration Na- 
mingContext", és a ,schemaNamingContext" tulajdonságok 
tartalmazzák a megfelelő partíciók DN-jeit. Sőt még ennél is 
többet megtudhatunk, mivel a ,namingContexts" tulajdonság 
a címtár valamennyi alkalmazáspartíciójának DN-jét is tartal- 
mazza (a configuration és schema partíciókét is), vagyis ha 
kiolvassuk ezeket az információkat, akár még teljesen isme- 
retlen felépítésű címtár alkalmazás-partícióira is rá tudunk 
akaszkodni. Csatlakozzunk a harmadik , well-known" névtér- 
re (RootDSE), amely egyetlen konténerből áll, ennek tulajdon- 
ságlapja látható az alábbi képen, itt találhatjuk meg az előbb 
említett tulajdonságok értékeit: 


TETEMET NT ZT] 


Atribute Editor ) 


[7 Show mandatory attibutes 

[7 Show goptional attributes 

TT Show only attributes that have values 
Attributes: 







CNeConfiguration CNe(6F 1534. 
20050402185657.0Z 


configuration NamingContext Distinguish. 
currentTime UTC Code. 
















dnsHostName Caselnsen..  saturnus 
domainControllerFunction... . Integer 2 

dsServiceName Distinguish... . CN-NTDS Settings CN-SATU 
forestFunctionalíty Integer 2 

highestCommitteduSN Caselnsen.. 12408 

isSynchronized Boolean FALSE 

namingContexts Distinguish... . CNsAppPartítion DCsfalatrax. C 
schemaNamingContext Distinguish.. . CN:Schema.CN.Configuratior 
serverName Distinguish.. . CNSSATURNUSSinstance1.CI 
subschemaSubentry Distinguish... . CNsAggregate.CN-Schema.C 
supportedCapabilíties Object iden. 


1.2.840.113556.1.4.1791:1.2.840 9 
; 








vésse] Area ] 


A RootDSE konténer tulajdonságlapja 


Sémabővítés : 

Most pedig nézzük, hogyan bővíthetjük saját objektum és att- 
ribútum típusokkal az ADAM sémát, és hogyan hozhatunk lét- 
re ezeknek a típusoknak megfelelő objektumot az alkalma- 
Zzás-partícióban. Indítsuk el az ADAM-ADSI Edit konzolt, és ha 
még nem tettük meg csatlakozzunk a séma partícióhoz. Jobb 
gombos kattintás után válasszuk a helyi menüből az Új -2 Ob- 
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ject parancsot. A megjelenő párbeszédablakban láthatjuk, 
hogy milyen objektumtípusok létrehozására van lehetőség: 


Create Object éz x] 


Select a dass: 


attributeschema 








2 Wissza 


Iovább Mégse 


Új séma osztályt hozunk létre 





Az itt megjelenő elemeket az adott konténer allowedChildC- 
lasses tulajdonsága tartalmazza. Válasszuk a classSchema 
elemet, és menjünk tovább. A következő ablakban az új ob- 
jektum CN-jét kell negadnunk (CN- előtag nélkül), ez legyen 
mondjuk , felhasznalo". A subClassOf tulajdonság következik, 
most a user osztály módosított változatát szeretnénk létrehoz- 
ni, így örökítsünk ebből (ezzel osztályunk hosszú öröklési lánc 
végére kerül: top -2 Person -5 organizationalPerson -5 User). 
Általános használatra a top osztálytól célszerű örökíteni, ő az 
osztályhierarchia csúcsa. A user osztályt az ,MS-User.ldf" fájl 
importálásával hozta létre a telepítőprogram, a mi új osztá- 
lyunk ennek valamennyi saját és örökölt tulajdonságával ren- 
delkezni fog, sőt egy új elemmel is bővítjük majd a készletet. 
Az utolsó lapon a governsID tulajdonságot kell megadnunk, 
ez az objektum típus egyedi azonosítója. Ha szélesebb kör- 
ben használt alkalmazás számára végezzük a sémabővítést, 
akkor a [2] weblapon találhatunk információt arról, hogyan re- 
gisztráltathatjuk séma osztályaink egyedi azonosítóját a Mic- 
rosoftnál. Most azonban ennek semmi jelentősége, ha vaktá- 
ban lövöldözünk, akkor sem túl valószínű, hogy már létező 
azonosítót sikerülne találni (ha mégis, válasszunk másikat). 
Aki szeret sokat gépelni, az használja mondjuk az 
1.2.840.113556.1.6.1.2.1 értéket. Ezzel majdnem készen is 
vagyunk, de mivel az új objektumok és értékek első körben 
csak az ADSI gyorsítótárba kerülnek, értesítenünk kell a cím- 
tárat is a változásokról mielőtt használatba vesszük az új ob- 
jektum típust. Kattintsunk jobb gombbal a séma partícióhoz 
létrehozott kapcsolatra, és válasszuk az , Update schema 
now" parancsot. Frissítsük a séma konténer tartalmát megje- 
lenítő listát is (F5), ezután már biztosan megtaláljuk benne az 
újonnan létrehozott típusunkat. 
Folytassuk egy attribútum típus létrehozásával, ezt majd hoz- 
zá fogjuk csatolni az objektum típusunkhoz. A kezdés 
ugyanaz, majd a megjelenő ablakokban rendre adjuk meg a 
következő értékeket: 

m Class — AttributeSchema 

mM cn- weblap 


m oMSyntax - 64 (ez unicode sztring típust jelent) 

mu IDAPDIisplayName -— weblap 

m isSingleValued — true (az attribútum csak egyetlen érté- 
ket tartalmazhat majd) 

m attributeSyntax — 2.5.5.12 (sztring) 

m attributelD — 1.2.840.113556.1.6.1.1.1 


Ha az attribútumban esetleg nem sztringet szeretnénk tárol- 
ni, az oMSyntax és attributeSyntax tulajdonságok megfelelő 
értékeiről a [2] címen kaphatunk felvilágosítást. 

A cache-ben lévő adatok elküldése és frissítés után a listában 
megjelenik az új attribútum típus. 

Már csak egy dolog van hátra: az objektum típusunkkal tudat- 
ni kell, hogy az attribútum típus az övé, használja egészség- 
gel. Mi sem könnyebb ennél, megkeressük az objektumun- 
kat, annak tulajdonságlapján az allowedAttributes mezőt, és 
hozzáfűzzük a listához az új értéket. Innen már csak néhány 
OK gombra kell kattintanunk, hogy megkapjuk a , Felépített 
attribútum módosítása nem engedélyezett" feliratú hibaüze- 
netünket. Sajnos ezt a műveletet NEM lehet az ADAM ADSI 
Edit konzolból elvégezni, kénytelenek leszünk az ADAM 
Schema nevű modult elővenni. Indítsunk el egy üres mmc -t, 
és adjuk hozzá az ADAM Schema modult. Kattintsunk jobb 
gombbal az ADAM Schema csomópontra, és válasszuk a 
Change ADAM Server... parancsot. Meg kell adnunk az 
ADAM kiszolgálót (localhost), a megfelelő portszámot (389), 
és a csatlakozó felhasználó nevét (bejelentkezett felhaszná- 
ló). A Classes csomópont alatt keressük meg a típusunkat, je- 
lenítsük meg a tulajdonságlapját, és az Optional mezőhöz ad- 
juk hozzá az új attribútum típust. 





felhasznalo tulajdonságai 


General] Relationship. Attibutes I 





Ba felhasznalo 
Mandatory: 
Optionat. [szd a] 


Remove 





OK [ Mégse Alkalmaz] 


Az új objektum típus új attribútuma 


Természetesen, ha az új típus alapján objektumot hozunk lét- 
re, annak nem csak egyetlen attribútuma lesz, hiszen örökli a 
user, person, top, stb. osztályok valamennyi attribútumát is. A 
képen is látható, hogy csak opcionális attribútumokat adha- 
tunk hozzá a típushoz, kötelező attribútumok megadására 
csak az osztály létrehozása közben van lehetőség (ha az osz- 
tályt a Schema modulban készítjük el). Ez a korlátozás kön- 


nyen érthető, ha meggondoljuk, micsoda meglepetés érné az 
osztály alapján már létrehozott objektumokat egy új kötelező 
attribútum megjelenésekor. Ha a tulajdonságlapot becsukjuk, 
a jobb oldali panelen látható a típus valamennyi (öröklött és sa- 
ját) attribútuma, köztük a sajátunk is. Ha ezután visszatérünk 
az ADSI Edit konzolba, szomorúan tapasztalhatjuk, hogy az al- 
owedAttributes listában továbbra sem jelenik meg az attribú- 
tumunk. Ha viszont az osztályra alapuló objektumot hozunk 
étre, annak weblap tulajdonsága már gond nélkül használha- 
Óó, amint azt a következő bekezdésben ki is fogjuk próbálni. 
Mielőtt nagyon belemelegednénk a sémabővítésekbe, jó, ha 
tudjuk, hogy az ADAM (a legtöbb más címtárhoz hasonlóan) 
nem teszi lehetővé a létrehozott osztályok, vagy attribútum tí- 
pusok törlését. Típusainkat azonban , üzemen kívül" helyez- 
hetjük, ha az isDefunct tulajdonságot igazra állítjuk. A példány- 
hoz tartozó Windows szolgáltatás újraindítása után már nem 
hozhatunk létre az adott típusra alapuló objektumokat. 

A már létező objektumok természetesen megmaradnak, ob- 
jectClass tulajdonságukban már nem az osztály neve, hanem 
governsID-je fog szerepelni. Célszerű tehát a tervezett bőví- 
téseket alaposan átgondolni, és egy olyan mintapéldányon 
etesztelni, amelyet a kísérletek után nyugodtan letörölhetünk. 





Objektum létrehozása 

az alkalmazás partícióban 

Az új objektum létrehozásához ismét az ADAM ADSI Edit kon- 
zolt fogjuk használni. Először is csatlakozzunk a telepítéskor 
létrehozott alkalmazás partícióhoz. Ez természetesen már 
nem , well-known" névtér, így meg kell adnunk a , CN-App- 
Partition, DC-falatrax, DC-hu" megkülönböztető nevet. Ke- 
ressük meg a névtér legfelső konténerét, és jobbklikk után vá- 
lasszuk az Új -5 Object parancsot. Ha minden jól sikerült (és 
az ADSI cache-t is elküldtük már a címtárba) akkor a létreho- 
zott , felhasznalo" típusnak meg kell jelennie a listában. Hogy 
egy adott típus megjelenik-e itt, azt a típus possSuperior tu- 
lajdonságának értéke határozza meg. Itt tételesen fel kell s0- 
rolnunk azokat a típusokat, amelyek tartalmazhatják őt. Alap- 
értelmezés szerint ide bekerül a , container" típus, ez most ne- 
künk éppen elég is. Ha más típusú tárolókban (például szer- 
vezetben, vagy szervezeti egységben) is szeretnénk létre- 
hozni az osztályunkon alapuló objektumot, akkor ezeket is fel 
kell vennünk a tulajdonság értékei közé. (Legjobb, ha ezt is- 
mét a Schema modulban tesszük, mégpedig az adott osztály 
tulajdonságlapjának , Relationship" oldalán.) 

Válasszuk tehát a , felhasznalo" típust. Már csak egyetlen tu- 
lajdonságot kell megadnunk (CN-SziklaSzilard), és készen is 
vagyunk. Az új objektum tulajdonságlapján már megjelenik a 
, weblap" tulajdonság, az értéket is itt állíthatjuk be. 


Új alkalmazás partíció hozzáadása 

Végül próbáljunk ki még egy lehetőséget; hozzunk létre új al- 
kalmazás partíciót címtárunkban. Ehhez újabb eszközt fo- 
gunk használni, mégpedig az ADAM csomaggal együtt ér- 
kező Idp.exe programot. Indítás után csatlakozzunk a címtár- 
hoz (Connection -5 Connect), itt meg kell adnunk a kiszolgá- 
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ló nevét (localhost), és a csatlakozáshoz használandó portot 
(389). A Connection -: Bind paranccsal a bejelentkezést vé- 
gezhetjük el, ha egyetlen mezőt sem töltünk ki, az aktuális fel- 
használó próbál bejelentkezni. A Browse -5 Add Child pa- 
rancsra kattintva a következő párbeszédablakot kapjuk (per- 
sze kitöltetlenül:): 


JCN-MasikAlkalmazas, DCsfalatrax, DC-hu 














instanceType 
Values: F 
Enter Insertfile ] 








Entry List 


objectClass:container 
instanceType:5 





Edit] 


[I Extended 


Remove ] 





Close I 


Új alkalmazás partíció létrehozása 


[7 Synchronous 


Konténer objektumot hozunk létre, ennek négy kötelező attri- 
bútuma van (cen, objectClass, instanceType, objectCategory), 
de ha az utolsót nem adjuk meg, az automatikusan generá- 
lódik az objektum létrehozásakor. A másik három értéket írjuk 
be az ábrának megfelelően, ezután a Run gombra kattintva 
létre is jön az új partíció. 


A cikk következő részében már a .NET keretrendszer osztá- 
lyait felhasználva fogjuk többé-kevésbé ugyanezeket a mű- 
veleteket elvégezni, és próbára tesszük az ADAM címtár se- 
bességét is. 


SZERÉNYI LÁSZLÓ 
szerenyi. kömet.bu 


A cikkben szereplő URL-ek: 


[1]. http:Z/www.microsoft.com / windowsserver2003/ adam/ 
$ default.mspx 

[2] httpsZ/msdn.microsoft.com / library/ en-us /ad/ ad/ 
$ obtaining. an. object identifierasp 

[3] http:Z/msdn.microsoft.com/ library/ en-us/ adschema/ 
4 adschema/ syntaxes.asp 
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IV. RÉSZ 


Az ASR.NET Cache és az SOL Server 2005 


együttműködése 


Bevezetés 

Az előző részben megnéztük az ASP.NET Cache alapvető 
használatát, illetve adatbázisfüggő Cache-elés felépítését 
SOL Server 2000 háttérrel. Ebben a részben megvizsgáljuk, 
milyen új Cache vezérlési lehetőségeket aknázhatunk ki az 
SOL Server 2005 nyújtotta új szolgáltatások felhasználásával. 


Adatbázisfüggő Cache felépítés alapjai 
Emlékeztetőül a probléma leírása. Adatbázisból lekérdezé- 
sek eredményhalmazát jelenítjük meg weblapokon. A lekér- 
dezések erőforrásigényesek, ezért szeretnénk minimalizálni 
őket. A lekérdezések adatait tárolhatjuk a futó weblapok kód- 
jával azonos AppDomainben, az ASP.NET Cache objektum- 
ban. Azonban az adatbázisadatok véletlenszerű időzítéssel 
változhatnak, amely után a gyorsítótárba helyezett adatokat 
ki kell üríteni, illetve a következő kérésnél újra kell építeni. A fő 
probléma: hogyan értesüljön róla a tár, hogy a lekérdezett 
adatok változtak? Kinek is van ismerete elsőkézből a változá- 
sokról? Természetesen az adatbázisnak. Ha az adatbázis 
vissza tudna szólni a Cache-nek, hogy az adatok változtak, 
akkor a problémát megoldottuk. 

Ehhez két követelményt kell teljesíteni: 

1. Az adatbázis tudjon róla, hogy egy bizonyos lekérdezés, 
- amely akár WHERE feltételt, JOIN-t, stb. is tartalmaz — ki- 
menete megváltozott egy adatmódosító művelet hatásá- 
ra. Azaz az adatbázisnak meg kell jegyezni a kitüntetett le- 
kérdezéseket, és figyelni az adatmódosításokat, melyek 
érintenék a korábbi adatokat. Ez nem egyszerű probléma. 

2. Az adatbázis képes legyen aszinkron módon értesíteni az 
ASP.NET Cache-t a megváltozott adatokról. Az aszinkron 
követelmény miatt kiesett a ,triggerrel közvetlenül beszó- 
lok a Cache-nek" megoldás, mert a szinkron Cache keze- 
lés nagyon lelassítaná az adatbázismódosításokat. 

A második követelmény miatt szükséges valamiféle átmene- 
ti tároló, ahol várakoznak a Cache értesítések feldolgozásra. 
Ha igazságos rendszert akarunk létrehozni, aki elsőnek jött, 
azt kell elsőként kiszolgálni, azaz egy várakozási sorra, egy 
Oueue-ra lesz szükség. Ezt a sort már lehetne triggerrel táp- 
lálni, ám triggerrel még mindig nehéz lenne az 1. követel- 
ményt implementálni. Szerencsére az SOL Server 2005-ben 
mindkét követelményre van megoldás. A lekérdezés ered- 
ményhalmazának változását a Ouery Notifications nevű tech- 
nológia képes figyelni, az események aszinkron továbbítását 
egy várakozási soron keresztül pedig a Service Broker nevű 
új SOL Server komponens képes elvégezni. 


ED 
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Bár a cikk az ASP.NET Cache-ről szól, nagy vonalakban ér- 
demes megismerni ezen két szereplőt, így jobban megértjük 
az SalCacheDependency működését is. 


SOL Server 2005 Guery 
Notifications 
A szolgáltatás építőkövei a következők: 
m SOL Server 2005 GCuery Engine 
m SOL Server Service Broker 
m sp DispatcherProc (CLR) tárolt eljárás 
m SalNotification osztály (System.Data.Sal.SalNotificati- 
onReguest) 
m  SalDependency osztály (System.Data. SalClient.SalDe- 
pendency) 


Az ADO.NET SalCommand kapott egy új jellemzőt a 2.0-ban, 
a Notification-t. Ha a parancs futtatása előtt ezt kitöltjük egy 
SalNotificationReguest példánnyal, akkor ezzel jelezzük az 
SOL Servernek, hogy kérünk értesítést, ha a futtatott lekérde- 
zés eredményhalmaza megváltozik. Az SOL Server ezek után 
, figyel" minden adatmódosítást, hátha az érinti a korábban re- 
gisztrált értesítendők egyikét. Ha változás történt, akkor a 
Ouery Engine elküld egy üzenetet a Service Broker várako- 
zási sorába. Ezek után az értesítés vagy visszamegy közvet- 
lenül a hívóhoz, vagy a hívó kérdezi le van-e a számára érte- 
sítés. A folyamatot szemlélteti a következő ábra: 


Hő SAL Server 


2. Parancs végrehajtás 
Értestés rögztése 


"Változást előidéző 
Parancs 


4. Sor feldolgozás, 
értesítés vissza a 
hívónak 


Az SOL Server 2005 Guery Notifications 
működése 


A következő kérdések az izgalmasak: 

1. Honnan tudja az SOL Server, hogy egy lekérdezés ered- 
ményhalmaza megváltozott? 

2. Hogyan szól vissza a hívónak? 

Az eredményhalmaz változásfigyelés valójában már benne 

volt az SOL Server 2000-ben is. Amikor ugyanis indexelt né- 


MÁAÁáARKETN e E Ba 03 


zetet hoztunk létre, akkor az SOL Servernek tudnia kellett át- 
vezetni a nézet alapját adó táblák változásait a letárolt nézet- 
re. Mivel ugyanez a mechanizmus működteti az értesítéseket, 
ezért ugyanazok a kötöttségek vonatkoznak a felhasznált le- 
kérdezésekre. Pl. UNIONt, DISTICTet, OUTER JOINTt, allekér- 
dezést, és még jó pár rázósabb parancsot nem lehetett hasz- 
nálni indexelt nézetekben, és ezekre az értesítések se men- 
nek. Miért? Mert nagyon nehéz megmondani, hogy egy táb- 
la változás hatására változik-e egy, a fenti bűnös parancsokat 
használó lekérdezés eredményhalmaza. Eme háttérismeret 
azért nagyon fontos, mert az indexelt nézetek dokumentáció- 
ja alapján máris tudhatjuk, hogy a Ouery Notifications fog-e 
működni a konkrét lekérdezésünkre. Ami , elég egyszerű", ar- 
ra menni fog. 

Nézzük a második kérdést. Mi történik, ha a szerver észreve- 
szi, hogy értesítést kell küldenie? A Cuery Engine a Service 
Broker egy SERVICE-éhez küldi az értesítést. 

A Service Broker egy új elem az SOL Server 2005-ben, a 
2000-nek még nem volt része. Ő tulajdonképpen egy adat- 
bázisban megvalósított várakozási sor, amelyben SERVICE- 
ek létesítenek kommunikációs végpontokat. A SERVICE egy 
olyan végpont, amely adattárolását egy OUEUE végzi el, és 
egy CONTRACT (gyakran XML Schema,) írja le a SERVICE- 
ben feldolgozható üzenetek formátumát. Azaz egy OUEUE- 
ban lehet több SERVICE, és minden SERVICE-hez csatolha- 
tunk CONTRACT-okat. 

A Guery Notifications CONTRACT-ja (szerződése, formátum- 
leírása) be van építve az SOL Serverbe, és a következő URL 
azonosítja: 


http: //schemas .microsoft . com/ SAL/Notifications/ 
fPostgueryNotification 


Ez csak egy azonosító, nem tölt be semmit az SOL Server a 
fenti URL-ről. Kifinomult esetben létrehozhatunk saját SERVI- 
CE-t, saját OUJEUE-ban is, de az alap értesítések kedvéért 
már léteznek ezek az msdb adatbázisban. Miután az értesí- 
tések elkezdenek szaporodni az alapértelmezett OUEUE- 
ban, ki lehet őket olvasni (pollozással). De azt ígértem, hogy 
az SOL Server képes visszaszólni a hívónak! És tényleg. A 
már említett sp. DispatcherProc hozzá van rendelve az ala- 
pértelmezett Cuery Notification SERVICE-hez, az dolgozza 
fel, ha értesítések esnek be. Ő egy .NET-ben írt tárolt eljárás, 
amely felolvassa a várakozási sorba érkezett értesítéseket, és 
saját protokoll segítségével visszaszól az ügyfélnek. A saját 
protokoll lehet TCP és HTTP, de ez nem azonos az SOL pa- 
rancsok végrehajtására használt, TDS csomagokat szállító 
csatornával, különösen, hogy ez a kiszolgáló felől nyílik meg 
az ügyfél irányába. Mivel ez egy független csatorna, az érte- 
sítések kedvéért nem kell nyitva tartani a normál adatbázis- 
kapcsolatot, az értesítések , hátulról", független szálakról ér- 
keznek be a hívóba. Amikor az ügyfél megkapta az értesítést, 
az sp. DispatcherProc törli a OUEUE-ból az értesítési kérést, 
és indítja a következő feldolgozást. 


Az SOL Server 2005 Guery 
Notifications programozása 

- Salbependency 

Habár belülről igen összetett az értesítő architektúra, progra- 
mozni meglepően egyszerű. Az SalDependency osztály egy- 
ségbe zár minden részletet, ami az értesítések kezeléséhez 


o 
o 
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szükséges. Csak annyi a teendőnk, hogy hozzárendeljünk 
egy SalDependency példányt a futtatandó SalCommandhoz, 
és rákapcsolódjuk az OnChanged eseményére. Ügyelni kell 
arra, hogy a parancs olyan legyen, amiről az SOL Server 2005 
képes értesítést küldeni, ezt kitárgyaltuk az előző fejezetben. 
A példánk egyszerű SELECT lesz, de ebben is kéttagú tábla- 
neveket kell használni, hogy a tulajdonos (SOL Server 2005- 
ben schema) egyértelmű legyen. E nélkül nem kapnánk érte- 
sítést. 

Lássunk hát egy működő vázat: 


using System; 
using System.Data; 
using System.Data.SglClient; 


class App ( 
static void Main() ( 
string connString - "Data Source-. ; Initial 
b Catalog-AdventureWoIks ; Integrated 
4 Security-true;"; 
using (SglConnection conn - 
new SgiConnection(connString) ) 
// 2-tagú táblanevek kellenek, 
//mint az indexelt nézetekben 
using (SglCommand cmd - 
new SgliCommand( 
"SELECT Description, StartDate FROM 
$ Sales.SpecialOffer", comn)) ( 
try ( 
//Az értesítést kezelő objektum 
// hozzárendelése a parancshoz 
SglDependency depend - 
new SglDependency (cmd) ; 
//Az eseménykezelő regisztrációja 
depend. OnChanged t- 
new OnChangedEventHandler (OnChanged) ; 


conn. Open( ) ; 

SglDataReader rdr - cmd.ExecuteReadetr( ) ; 

//Eredményhalmaz feldolgozása 

while (rdr.Read()) 
Console.WriteLine(rdr([0] ) ; 

rdr.Close(); 


//Várunk az értesítésekre 
Console .WriteLine ( "ENTER" ) ; 
Console.ReadLine ( ) ; 

) 

catch (Exception e) ( 
Console.WriteLine(e.Message) ; 

ih 

) 
h 


static void OnChanged(object caller, 
SgiNotificationEventArgs e) ( 
Console.WriteLine("A lekérdezés 
4 eredményhalmaza megváltozott. "); 
Console.WriteLine("Source " t e.Source); 
Console.WriteLine("Type " 4 e.Type); 
Console.WriteLine("Info " t e.Info); 
) 
) 


Az SalDependency konstruktorban lehet átviteli csatornát vá- 
lasztani, hitelesítést kérni, stb. Ezeket most nem tárgyalom 
részletesen, főleg, mert ezek még változhatnak a végleges 
változatig. 
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Kapcsolat az ASP.NET Cache-sel 

Ha már ilyen szépen kidolgozták az adatváltozásokról szóló 
értesítéseket, nem volt túl nehéz alkalmazniuk azt ASP.NET 
környezetre is. Az ASP.NET Cache eleve rendelkezik 
függőségkezeléssel, így külső esemény vagy változás hatá- 
sára képes kiütni valamilyen tárolt tartalmat. Ami új a 2,0-ban, 
hogy kapunk adatbázis-függőségi kezelést is, az SalCache- 
Dependency személyében. 

Ez az osztály kétféleképpen tud működni: az előző részben 
bemutatott SOL 7 és 2000-re épített pollozós módon, ezt lát- 
tuk, hasznos, de nem túl izgalmas. 

SOL Server 2005 esetén már sokkal izgibb a játék, hisz a 
Ouery Notification nem bután a tábla változásaira reagál, ha- 
nem szelektíven egy adott lekérdezésre hangoltan működik. 
Nézzünk egy példát az SalCacheDependency kézi haszná- 
latára, az előző részben látott mintára építve: 


public partial class SglCacheDep : 
System.Web.UI.Page 
( 
protected void Page Load(object sender, 
EventArgs e) 
A 
DataSet cachedData - (DataSet)Cache["d"]; 
if (cachedData -—— null) 
§ 
SgiCacheDependency dependency ; 
cachedData -— 
LoadFromDatabase (out dependenucy) ; 
dg.DataSource - cachedData; 
Cache. Insert("d", cachedData, dependency,) : 
A 
else 
t 
dg.DataSource - cachedData; 
; 
dg.DataBind() ; 
J 


private DataSet LoadFromDatabase( 
out SglCacheDependency dependency) 
( 
using (SglConnection conn -— 
new SgliConnection("...")) 
9 
SglDataAdapter adapter -— 
new SglDataAdapter( 
"SELECT Description, StartDate FROM 
4 Sales.SpecialOffer", conn); 
dependency - new 
SgliCacheDependency (adapter . SelectCommand) ; 
DataSet ds -— new DataSet() ; 
adapter.Fill(ds, "SpecialOffer"); 
return ds; 


A lap azonban hibával száll el: 


System.Data.SgiClient.SglException: User "NT 
AUTHORITYWNETWORK SERVICE" does not have 
permission to reguest guery notification 
subscriptions on database "AdventureWorks" . 

A severe error occurred on the current comnand. 
The results, if any, should be discarded. 


Ez aztán az irgum-burgum! Viszont logikusan jött ez a hiba, 
mert az értesítések adatbázis erőforrásokat kötnek le, ezért 
védeni kell őket. Adjunk hát jogot a weblapunkat futtató fel- 
használónak: 


GRANT SUBSCRIBE OUERY NOTIFICATIONS TO 
INT AUTHORITYWNETWORK SERVICE] 


Erre kapunk egy másik hibát: 


Cannot find the object 
"ReeryNotificationErrorsgueue" because it does not 
exist or you do not have permissions 


A OUEUE-hoz RECEIVE jogra van szükségünk, hogy ki tud- 
juk venni belőle az értesítést: 


GRANT RECEIVE 
ON dbo. [dueryNotificationErrorsgueue] 
TO [NT AUTHORITYWNETWORK SERVICE] 


Persze sokkal egyszerűbb lett volna, ha beraktam volna a 
webfelhasználómat a sysadmin szerepkörbe, és akkor min- 
den simán menne. Amint láttuk, némi pluszmunkával ugyan, 
de gyenge felhasználóval, minimális jogosultságokkal is lehet 
sikereket elérni, ráadásul a rendszerünk sokkal védettebb 
lesz a támadásokkal szemben. 


Az OutputCache 

együttműködése az SOL Server 
2005-tel 

Az OutputCache-t nagyon szeretjük, mert egyszerű használ- 
ni, és az egész lap html kimenetét letárolja, ezért általában 
sokkal hatékonyabb, mint az előbbi DataSet alapú gyorsítás. 
Ha szeretnénk az OutputCache-t függővé tenni az SOL 2005 
Ouery Notifications-től, akkor ezt a fejlécet kell berakni a lap 
elejére: 


S98 Page Language-"Ct" AutoEventWireup-"true" 
CodeFile-"OutputCacheDep. aspx.cs" 
Inherits-"OutputCacheDemo" 962 . 
cXROutputCache SglDependency-"CommandNotification" 
Duration-"86400" VaryByParam-"none "962 


chtml xmlns-"http://www.w3.org/1999/xhtml" : 


cbody? 
cform id-"form1" runat-"server"? 
casp:Label id-"time" runat-"server"/53cp/: 
casp:DataGrid id-"dg" 
AutoGenerateColums-"true" 
runat-"server"/5 
c/form: 
c/body? 
c/html: 


Az Salbependency-—"CommandNotification" jelöli ki, hogy 
nem pollozásra, hanem valódi értesítésre vágyunk. 

A lapot mozgató kód rendkívül egyszerű, simán kiolvassuk az 
adatokat DataAdapter vagy DataReader segítségével: 


public partial class OutputCacheDemo: 
System.Web.UI.Page 
A 
protected void Page Load(...) 
( 
time.Text - DateTime.Now.ToString() ; 
dg.DataSource - LoadFromDatabase( ) ; 
dg.DataBind() ; 
h 


private DataSet LoadFromDatabase() 


t 
using (SglConnection conn -— 
new SglConnection("...")) 
( 
SglDataAdapter adapter — 
new SglDataAdapter( 
"SELECT Description, StartDate FROM 
4 Sales.SpecialOffer", conn) ; 
DataSet ds - new DataSet() ; 
adapter.Fill(ds, "SpecialoOffer"); 
return ds; 
D 
) 
h 


Az ASP.NET automatikusan hozzákapcsolja az SalCacheDe- 
pendency-t a végrehajtott parancshoz, és az majd mindent 
elintéz a háttérben! 

A lap teszteléséhez egyszer le kell futtatni az aspx oldalt, utá- 
na egy napig nem fog változni a lap tetején látható idő, ha- 
csak meg nem változtatjuk az adatokat, pl. így: 


UPDATE Sales.SpecialOffer 
SET Description - Description t "1" 
WHERE SpecialOfferID - 1 


Játsszunk kicsit az értesítő architektúrával! 


UPDATE Sales.SpecialOffer 
SET Description - Description t "1" 
WHERE0-1 


Triviális trükk lett volna, természetesen nem kapunk értesítést. 


UPDATE Sales.SpecialOffer 
SET Description - Description 
WHERE SpecialOfferID - 1 


Ennek bedől, és üríti az OutputCache-t. Tanulság: ne tessék 
kuka, valójában semmit nem csináló UPDATE-eket írni. Végül 
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is a triggerek is lefutnak az ilyen parancsra, a notification is 
buzgón jelez. Mert ő ilyen. Inkább szól kisebb megmozdulá- 
sokrais, semmint a Cache tartalma valami elavult vacakot tar- 
talmazzon. 


ALTER TABLE Sales.SpecialOffer 
ADD UjOszlop INT NULL 


Ez ugyan nem módosít adatokat a táblában, de azért ez elég 
nagy volumenű módosítás, hogy kapjunk róla hírt. 
Kísérletezzünk az értesítések szelektivitásával is! Írjuk át a le- 
kérdezést így: 


SELECT SpecialOfferID, Description, StartDate, 
[Type] FROM Sales.SpecialOffer 
WHERE [Type] - N"Volume Discount" 


Kimenet: 











A Untitled Page - Microsoft Internet Explorer u; 
] Ele Edt Vew Favontes Isds Hep [ar 


[doress [EJ htorfochostoutostcadhelővtaztcateso JB 





4/19/2005 11:10:14 PM 


SpecialOfferID Description StarDate Type 
Vohme Discount 11 to 14 7/1/2001 120000 AM Volume Discount! 
Volume Discount 15 to 24 7/1/2001 12:00-00 AM Volume Discount! 
Volume Discount 25 to 40 7/1/2001 12:00-00 AM Volume Discount; 
Vohme Discount 41 to 60 7/1/2001 12:00-00 AM Volhme Discount! 

.. Volume Discount over 60 7/1/2001 120000 AM Volume Discount 


OV da 3 49 









Lőjünk mellé egy UPDATE-tel: 


UPDATE Sales.SpecialOffer 
SET Description - Description 
WHERE SpecialOfferID -— 1 


Mivel ez nem érinti az előbb leválogatott sorokat, a Cache há- 
borítatlan marad! Ez nagyon ügyes, ezt már nem tudta az 
SOL Server 2000-re épülő megoldás. 


SOCZÓ ZSOLT 

zsolt.soczoconetacademia. net 

A szerző a NetAcademia vezető fejlesztőoktatója 
ASP.NET MVP, MCSE, MCSD. MCDBA, MCT 


A cikkben szereplő URL-e 


[1] netacademia.net/ tudastar/ articlepage.aspx?upid- 5876 
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vVVi-indovws 


szolgáltatások 


LOCALUSYSTEM A MI VÁRUNK 


Újra tekintélyes mennyiségű VVindows Server 2003 


szolgáltatás működését, jellemzőit ismertetjük meg 


sorozatunkban. 


Print Spooler 
(Nyomtatásisor-kezelő) 

A szerviz rövid neve: Spooler 

Az alkalmazás neve: spoolsv.exe 

Függés: Remote Procedure Call 

Függesztés: Fax, Print Server for Macintosh, 

TCPAP Print Server 

Porthasználat: TCP: 139, 515; UDP: 137, 138, 1709 

Alapértelmezett indítás: automatikus 
Valószínűleg mindenki által jól ismert ez a szolgáltatás, hiszen 
az összes helyi illetve hálózati nyomtatási sor kezelőjéről van 
szó. A nyomtatási alrendszer egy olyan központi eleme ez a 
szerviz, amelyen biztosan ,átmegy" az összes nyomtatási 
feladat. A Print Spooler kommunikál a printer meghajtókkal 
valamint az I/O komponensekkel (pl. az USB porttal vagy a 
TCP/IP-vel). A nyomtatási feladatok további kezelése, azaz 
egyrészt a megfelelő printer driver megkeresése majd betöl- 
tése, illetve a nyomtatási feladatok sorbaállítása és időzítése 
is e szerviz feladata. 
Az indítása automatikus, és folyamatosan a számítógép leállí- 
tásáig működik is. Ha leállítjuk vagy letiltjuk, akkor mind a 
nyomtatás, mind a faxolás lehetősége megszűnik, akkoris, ha 
nem helyi nyomtatóra/faxra nyomtatunk. Valamint - mivel nem 
igény szerint indul/áll le - nem észleli az induló nyomtatási fela- 
datot, ergo csak akkor tilthatjuk le, ha a szerveren nincs beál- 
lított helyi nyomtató/fax illetve a szerverünk egy-egy hálózati 
nyomtató nyomtatási sorát sem kezeli. Ezzel a szervizzel kap- 
csolatban meg két dologra hívnám fel a figyelmet. Az egyik az 
ingyenesen letölthető Windows Server 2003 Resource Kit 
Tools-ban [1] szereplő Print Spooler Information (Spllnfo.exe), 
amely egy parancssori segédeszköz a nyomtatási sorral kap- 
csolatos információk összegyűjtésére és képernyőre listázá- 
sára (akár egy távoli számítógépről is). A másik pedig egy cso- 
portházirend beállítás, amely segítségével könnyedén enge- 
délyezhetjük/tilthatjuk a kliensek hozzáférését. 


Computer ConfigurationlAdministrative 
TemplatesXNPrintersVAllow Print Spooler to accept 
client connections 


Ha ez az opció nincs beállítva, akkor a spooler addig nem fo- 
gad el kéréseket, amíg nincs egy megosztott helyi nyomtató, 
vagy egy hálózati nyomtató nyomtatási sora nincs beállítva. 
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Ha az opció engedélyezve van, akkor minden kérést elfogad, 
ha viszont le van tiltva, semmilyet. A változtatáshoz a szervizt 
újra kell indítani. 


Protected Storage 
(Védett tároló) 

A szerviz rövid neve: ProtectedStorage 

Az alkalmazás neve: Isass.exe 

Függés: Remote Procedure Call 

Függesztés: - 

Porthasználat: - 

Alapértelmezett indítás: automatikus 
Ez a szerviz az érzékeny adatainkat - úgymint jelszavak, pri- 
vát kulcsok - védi, a nem jogosult felhasználóktól vagy éppen 
szolgáltatásoktól, processzek-től. A különböző alkalmazások 
(Outlook, IE, stb.) számára megengedi, hogy egyszerűen el- 
helyezzék és szükség esetén kinyerjék a lerakott kódokat, jel- 
szavakat. Erre a célra egy biztonságos és jól elzárt tárolót 
használ, amely sérthetetlenségét a felhasználó mesterkul- 
csán (master key - a profilba rejtett, a felhasználó jelszavából 
képzett, ám többszörösen , megkevert", háromhavonta meg- 
változó kulcs) keresztül a HMAC (Hash-Based Message 
Authentication Code) módszerrel és az SHA1 algoritmus sé- 
gítségével biztosítja a DPAPI (Data Protection API). Ez egy tel- 
jes szélességében beavatkozás nélküli folyamat, nem is kon- 
figurálható. 
Ha letiltjuk vagy leállítjuk a szervizt, akkor az ilyetén védett 
adatok elérhetetlenek lesznek, a tanúsítványkiadó szolgálta- 
tás nem működik tovább, sőt az S/MIME és az SSL sem, va- 
lamint az intelligens kártyás (smartcard) belépés is lehetet- 
lenné válik. Van ezzel a szervizzel kapcsolatban még egy ér- 
dekesség, nemcsak a leállásakor[/letiltásakor lehetnek fenn- 
akadások, hanem egy speciális esetben is. Ez úgy derült ki, 
hogy miután az IE-nek megengedtük, hogy tárolja a külön- 
böző weboldalakon rendszeresen használt és ezért kényelmi 
szempontból elmentett jelszavakat, és közben az Outlook- 
nakis, hogy a POP3 postafiókok jelszavát jegyezze meg, egy- 
szercsak mindkettővel elkezdődtek a problémák. Az Outlook 
megtagadta a belépést a postafiókba, míg a jó ismerős web- 
lapoknál állandóan egy ,Protected Storage Service" panel 
akarta kikényszeríteni az elvileg már ismert jelszavakat. A 
megoldáshoz vezető úton (ami persze a Google, mint mindig) 
kiderült, hogy a valószínűleg az adott profilban generált jel- 
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szó cache és a Védett tároló szervizéhez kapcsolódó regiszt- 
rációs adatbázisban tárolt tartalom ütközik (mert mondjuk 
megsérült az utóbbi). Mit lehet tenni? Találtunk megoldást: 

m le kell állítani a szervizt 

m elkell indítani regedt32.exe-t és ide navigálni: 


HKEY CURRENT USER ) Software ) Microsoft V 
Protected Storage System Provider 


m ahogy a képen is látható egyetlen kulcs található itt, az 
adott felhasználó SID-jével. Nos, ezt kellett törölni. Per- 
sze (és anno ezért kellett a regedt32, viszont ma már 
nem kell, jó a sima regedit.exe is), előtte adtunk ma- 
gunknak jogosultságot (jobb gomb a kulcson 5 Permis- 
sons...), mert alapból csak a SYSTEM felhasználónak 
van hozzáférése. 





A SID-del jelölt kulcsot kell törölni 
m ezután indítsuk el a szervizt és a hiba megszűnik. 


Figyelem! A megoldás egyetlen szépséghibája, hogy a ja- 
vítás mellett egyúttal fergeteges rombolást és sóval beszórást 
végez a korábban itt-ott elmentett jelszavak között, de ezeket 
újra megadva (az alkalmazásokban is) működni fog minden 
szépen. 


Remote Access Auto Connection 
Manager 
(Távelérés — automatikus kapcsolódás 
kezelője) 

A szerviz rövid neve: RasAuto 

Az alkalmazás neve: rasauto.dll (svchost.exe) 

Függés: Remote Procedure Call, Remote Access Connec- 

tion Manager, Telephony, Plug and Play 

Függesztés: - 

Porthasználat: - 

Alapértelmezett indítás: kézi, leállítva 
Ezt a szolgáltatást másképp , Autodial service"-nek is neve- 
Zik, és ebből már könnyebb kitalálni, hogy egy automatikus 
kapcsolódást próbál megvalósítani, akkor, amikor egy alkal- 
mazás egy távoli DNS vagy NetBIOS nevet szeretne elérni. A 
szerviz először biztosra akar menni, azaz megpróbálja felol- 
dani a távoli számítógép vagy pl. egy megosztás nevét, vagy 
hálózati csomagokat próbál küldeni a távoli gép felé, mert élő 
hálózati kapcsolat esetén természetesen nem lesz automata 
,tárcsázás". Ám ha ezek a módszerek eredménytelennek bi- 


zonyulnak, akkor aktiválódik, és feldob egy modemes vagy 
VPN csatlakozási lehetőséget a felhasználó elé. Nyilván csak 
a már meglévő kapcsolatokat képes ilyenkor felajánlani a 
csatlakozáshoz, ezek közül pedig azt, amelyet legutóbb 
használtunk (mert az összerendeléseket tárolja) az adott hely 
eléréséhez. 

Ha leállítjuk, kézzel kell indítanunk a csatlakozást, amennyi- 
ben szükséges. De van, ami még ekkor is elindul! Ez pedig a 
Windows termékaktiváció, amely a Telefonos szerviz mellett 
ezt is képes beizzítani szükség esetén. Ha viszont letiltjuk a 
szervizt, akkor nem, és természetesen más alkalmazás sem. 


Remote Access Connection 
Manager 
(Távelérési csatlakozáskezelő) 

A szerviz rövid neve: RasMan 

Az alkalmazás neve: rasmans.dll (svchost.exe) 

Függés: Remote Procedure Call, Plug and Play, Telephony 

Függesztés: Internet Connection Firewall (ICF) / Internet 

Connection Sharing (ICS), Remote Access Auto Connec- 

tion Manager 

Porthasználat: - 

Alapértelmezett indítás: kézi, leállítva 
E szerviz feladata a telefonos és a VPN kapcsolatok kézben 
tartása. Amikor a Hálózati kapcsolatok ablakban duplán kat- 
tintunk egy kapcsolatra, akkor ez a szerviz tárcsáz, illetve kül- 
di a VPN kapcsolódási kérést és ezután is kezeli a kapcsola- 
tot, pl. egyeztet a RAS szerverrel. 
Ha nincs működésben egy-egy kapcsolat, akkor a szerviz tá- 
vozik a RAM-ból, persze, ha megnyitjuk a Hálózati kapcsola- 
tok ablakot, akkor megint betöltődik, hiszen a kapcsolatok ál- 
lapotának lekéréséhez is szükség van rá. Abban az esetben, 
ha nincs egyetlen táveléréshez szükséges kapcsolatunk, ak- 
kor viszont nem kell, marad alapállapotban. Ha letiltjuk, vagy 
leállítjuk, nem tudunk modemes vagy VPN kapcsolatot létre- 
hozni, és az esetleges bejövő kapcsolatok sem fognak mű- 
ködni. Vizuálisan is szegényebbek leszünk, mert a Hálózati 
kapcsolat ablak sem mutat tartalmat, még a helyi kapcsola- 
tokat sem. 


Remote Administration Service 
(Távfelügyeleti szolgáltatás) 

A szerviz rövid neve: SrvcSurg 

Az alkalmazás neve: Srvcsurg.exe 

Függés: Remote Procedure Call 

Függesztés: - 

Porthasználat: - 

Alapértelmezett indítás: automatikus 
Ez a szolgáltatás kifejezetten érdekes. Az összes szervizek- 
kel kapcsolatos hivatalos dokumentum szerint az operációs 
rendszer (bármelyik Windows 2003 változat) alapértelmezett 
telepítésével kerül fel a rendszerre, ám akárhány Windows 
2003 szervert tekintettem meg (legalább tízet), egyszer sem 
láttam a szolgáltatások listájában, de a futtatható állományt 
sem a lemezen. Ha viszont feltelepítem az IIS-t (ami ugye, 
nem default már) és vele a ,Remote Administration (HTML)" 
komponenst, akkor feltelepül az 5 MB-os , Remote Administ- 
ration Tools" csomag is, meglesz az .exe is és a szerviz is. Ér- 
dekes... 
Mindenesetre maga a Remote Administration szolgáltatás a 
következő, rendszerindításkor lezajló műveleteket hajtja végre: 
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m Eggyel növeli a szerverindítások számának értékét 

m Generál egy self-signed tanúsítványt (így aztán akkor is 
tud https-t használni, ha mi nem telepítettünk) 

m Egy figyelmeztetést kreál, ha a dátum és/vagy az 
időbeállítás nem korrekt 

m Egy másik figyelmeztetést kreál, ha az e-mail küldés 
nem konfigurált vagy nem is lehetséges 





A Remote Administration Tools csomag kü- 
lön települ 
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És ez az eredmény" - https://local- 
host:8098 


A szolgáltatás akkor indul, ha a Remote Server Manager a 
COM interfészen keresztül meghívja. A COM interfész csak a 
LocalSystem fiók és az Administrators csoport tagjai számá- 
ra tudja megengedni ezt a kérést a kliensről, ami egy biztató 
dolog. Ám vegyük figyelembe, hogy az ilyen típusú távirányí- 
tás biztonsági szempontból nem egy kívánatos módszer 
mondjuk egy nyilvános hálózaton keresztül. Ezért célszerű 
vagy letiltani a szerviz indítást, vagy fel sem telepíteni a cso- 
magot, vagy legalább csoport/helyi házirenden keresztül sza- 
bályozni a szervizhez való hozzáférést, és aztán kézzel az in- 
dítást/leállítást. 


Remote Desktop Help Session 
Manager 
(Távoli asztal súgó-munkamenetének 
kezelője) 

A szerviz rövid neve: RDSessMgr 

Az alkalmazás neve: sessmgr.exe 

Függés: Remote Procedure Call 

Függesztés: - 

Porthasználat: - 

Alapértelmezett indítás: kézi, leállítva 
Egyszerű szerviz, a Remote Assistance (Távsegítség) szol- 
gáltatás Súgón belüli (ugyanis ha elakad a felhasználó, a Sú- 
góból megkérheti a rendszergazdát, hogy kapcsolódjon már 
a gépéhez) használatát ellenőrzi és kezeli. 
Ha leállítjuk vagy letiltjuk, azon kívül, hogy a feladatát nem tel- 
jesíti, semmilyen más hátrány nem ér bennünket, így ha nem 
kell, bátran tegyük csak meg. 


Remote Procedure Call 
(Távoli eljáráshívás) 

A szerviz rövid neve: RpcSs 

Az alkalmazás neve: rpcss. dil (svchost.exe) 

Függés: - 

Függesztés: [2] 

Porthasználat: TCP: 135, 530, 593, 80, RPC over HTTP 

esetén dinamikus; UDP: 135, 530, 2034 ill. dinamikus 

Alapértelmezett indítás: automatikus 
Minden szervizek atyja, egy alap Windows Server 2003 rend- 
szerben kb. 53 szerviz függ tőle. Ezt a listát nem részletezem, 
viszont a letölthető, 311 oldalas , Threats and Countermeasu- 
res: Security Settings in Windows Server 2003 and Windows 
XP" dokumentumban megtekinthető [2]. A távoli eljáráshívás 
(RPC) a Windows operációs rendszerek által ősidők által 
használt szerver/kliens protokoll. Az Open Software Founda- 
tion távoli eljáráshívási protokollon alapul, amelyet a Microsoft 
kibővített néhány saját elemmel. Az RPC segítségével egy al- 
kalmazás egyszerűen hozzáférhet egy másik számítógépen 
futó szolgáltatáshoz egy IPC (InterProcess Communication - 
egymástól független folyamatok közti adatcsere) csatornán 
keresztül. Ezek a folyamatok lehetnek ugyanazon a gépen, 
vagy egy hálózat gépein, vagy akár két, az internetre csatla- 
kozó gépen is. 
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Service 
EJ Protected storage 
EJ Remote Access Auto Connection Man... Microsoft Corporation 
EH Remote Access Connection Manager Microsoft Corporation 
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Essential services cannot be disabled. Doing so might 
prevent Windovis frora running on your computer , 





Microsoft Corporation 














TT Dont show this message in the future 





Microsoft Corporation 
Microsoft Corporation 





null 
Enetie AU I Disable All 
o fernek [7 sw [0 eb] 


Az MSCONFIG tiltakozik 





Ezt a szervizt Windows Server 2003 esetén semmilyen jogo- 
sultsággal nem sikerült leállítani vagy letiltani, sem a Services 
MMC-ből sem az MSCONFIG segédprogramból. 


Ha történetesen valahogy mégiscsak sikerülne leállítani, vagy 
az indulási értéket letiltani (ez Windows 2000-nél lehetséges 
és az XP-nél is, közvetve, a DCOM Server Process Launcher 
szolgáltatáson keresztül), akkor az operációs rendszer véde- 
kezésképpen újraindul, és ha letiltottuk, akkor az újraindítás 
után számtalan, igazán komoly problémával szembesülünk, 
szinte semmi nem működik, ha egyáltalán beindul a Win- 
dows. Ami biztos: ezek után elindítani sem fogjuk tudni ezt a 
szervizt, ergo marad a Recovery Consol, amivel viszont újra 
automatikusan induló állapotba tudjuk tenni. Szóval csak na- 
gyon óvatosan. 


KAZACiuetoi er érzi 


This system is shutting down. Please save all 
work in progress and log off. Any unsaved 
changes will be lost. This shutdown was 
inítiated by NT AUTHORITYSSYSTEM 


Time before shutdown : 00-00-21 


Message 

! Windovés must now restart because the 
Remote Procedure Call (RPC) service 

! terminated unexpectedly 





A Blasternek anno sikerült lelőni 
az RPC szervizt 


Remote Server Manager 
(A távoli kiszolgáló kezelője) 

A szerviz rövid neve: AppMgr 

Az alkalmazás neve: Appmgr.exe 

Függés: Remote Procedure Call 

Függesztés: - 

Porthasználat: - 

Alapértelmezett indítás: automatikus 
A Remote Server Manager szoros együttműködésben van a 
korábban említett Remote Administration szervizzel, és a kö- 
vetkezőket nyújtja: 

m tárolja aRRemote Administration figyelmeztetéseket, 

m megmutatja, törli és számolja is ezeket, 

m a Remote Administration feladatok végrehajtását segíti. 


Ha a szervizt kézi indításúra tesszük, akkor egy Remote Ad- 
ministration feladat vagy egy figyelmeztetés miatt el fog indul- 
ni elindulni. Ha letiltjuk, nem lesznek figyelmeztetések. Az in- 
dításával és az engedélyezésével kapcsolatban a problémák 
ugyanazok mint a Remote Administration szolgáltatásnál. 


Removable Storage 
(Cserélhető tároló) 

A szerviz rövid neve: NimsSvc 

Az alkalmazás neve: ntmsvc.dll (svchost.exe) 

Függés: Remote Procedure Call 

Függesztés: 

Porthasználat: - 

Alapértelmezett indítás: kézi, leállítva 
Az eltávolítható médiák meghajtóit és tárolóit kezeli. A szala- 
gos meghajtók, a CD/DVD-k vagy akár a ZIP meghajtók kata- 
lógusait információt gyűjti és rendszerezi, valamint hozzáférést 
nyújt (mount/unmount/eject) az eltávolítható médiákhoz (rend- 
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szerint az NTBackup és a Remote Storage szerviz használja). 
A Removable Storage által kezelt eszközöket megtekinthetjük 
a Computer Management MMC-ben a Storage szakaszban. 
Ha leállítjuk vagy letiltjuk, ezeket a feladatokat természetesen 
nem fogja teljesíteni. Igazából letiltani nem sok értelme van, 
hiszen a szerviz amúgyis csak akkor indul el (automatikusan), 
ha egy erre épülő alkalmazás használni szeretné és csak ad- 
dig működik, amíg használatban van. Ha viszont mégis letilt- 
juk, a tapasztalatom szerint az NTBackup valami egészen el- 
képesztően lassan indul el és habozik később is. 


Resultant Set of Policy Provider 
(Az eredő házirend szolgáltatója) 

A szerviz rövid neve: RSoPProv 

Az alkalmazás neve: RSoPProv.exe 

Függés: Remote Procedure Call 

Függesztés: - 

Porthasználat: - 

Alapértelmezett indítás: kézi, leállítva 
Mint ahogyan a nevéből is kiderül, ez a szerviz az RSoP kiszol- 
gálója. Lehetővé teszi, hogy csatlakozzunk a tartományhoz, 
elérjük a távoli WMI adatbázist és az RSoP segítségével szi- 
muláljuk a csoportházirend beállításait. A szervizt elsősorban 
az RSoP MMC használja, és persze az RSoP-Planning Mode 
Provider/WMI Provider összes csatlakozó kliense is. Az RSoP 
a csoportházirend egy remek kiterjesztése, amellyel egyrészt 
egy MMC modulból kockázat nélkül tesztelhetjük a tervezett 
csoportházirend beállítások hasznát adott felhasználókra, 
vagy számítógépekre (tervező üzemmód), egyúttal hibakere- 
sésre is használhatjuk, illetve a beállításokat is ellenőrizhetjük, 
jelentések formájában (naplózó üzemmód). Gyakorlatilag az 
RSoP egy lekérdező motor, amely az ún. CIMOM (Common In- 
formation Management Object Modell) adatbázisból, a WMI 
segítségével összegyűjti (telephely, tartomány, DC, vagy szer- 
vezeti egység szinten) a jelenlegi és a tervezett beállításokat. 
A CIMOM adatbázis független a címtártól, viszont minden a 
hálózatba belépett gép automatikusan feltölt egy sor magára 
jellemző adatot ide, pl. a hardverről, az IE-ről, a mappaátirá- 
nyításokról, a biztonsági beállításokról, stb.. 





Az RSoP naplózó üzemmódban 


Az RSoP másik nagy előnye, hogy ha több szinten (site, do- 
main, OU), több különböző csoportházirend objektum van 
beállítva, akkor ezek hatása (a beállításoktól és a szabályok- 
tól függően) ütközhet, ám az RSoP képes eligazodni ebben, 
és mindig az aktuálisan helyen hatályos és érvényes beállí- 
tást mutatja meg. 

Ha a szervizt leállítjuk vagy letiltjuk, az RSoP tervező mód elér- 
hetetlen lesz az adott DC-n. Más ismert hatása nincs. 
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Routing and Remote Access 
(Útválasztás és távelérés]) 

A szerviz rövid neve: RemoteAccess 

Az alkalmazás neve: mprdim.dll (svchost.exe) 

Függés: NetBIOS Interface, NetBIOS Group, Remote Pro- 

cedure Call 

Függesztés: -. 

Porthasználat: TCP: 47 (GRE) 1723; UDP: 500, 1701 (Lay- 

er 2 Tunneling) 1723 (PPTP) 

Alapértelmezett indítás: letiltva 
Ki ne ismerné az RRAS-t? És aki ismeri, tudja, hogy rengeteg 
mindenre használható, valódi komplex megoldás. Telefo- 
nos/modemes kiszolgáló, teljes körű VPN szolgáltatás, LAN- 
LAN, LAN-WAN útválasztás, NAT, mini DHCP/DNS kiszolgá- 
ló, házirendek, igény szerinti tárossázás — mind-mind megta- 
lálhatóak benne. Rengeteg komoly könyv és cikk is íródott 
már erről a témáról, pl. ebben az újságban is volt már egy re- 
mek sorozat [3], így aztán nem szaporítanám feleslegesen a 
szót. Annyit azonban megjegyeznék, hogy amennyiben az 
RRAS MMC-ben engedélyezzük a szolgáltatást és egyúttal 
elindítjuk az RRAS varázslót, akkor a szerviz a letiltott állapot- 
ból automatikusan indulóra vált át. Viszont ez nem jelenti azt, 
hogy ha ezek után bármikor leállítjuk a Services MMC-ben, 
akkor szintén , igényre" el fog indulni. Azaz ilyenkor a szoká- 
sos , piros nyíl karikában" látványban lesz részünk. Ha a kon- 
Zolról tiltjuk le, akkor viszont a szerviz is letiltásra kerül és ér- 
telemszerűen a fenti feladatokat nem fogja ellátni. 


Secondary Logon 
(Másodlagos bejelentkezés) 

A szerviz rövid neve: Seclogon 

Az alkalmazás neve: seclogon.dil (svchost.exe) 

Függés: - 

Függesztés: - 

Porthasználat: - 

Alapértelmezett indítás: automatikus 
A Windows 2000 esetén , RunAs Service" néven futott ez a 
szolgáltatás, valószínű, hogy sokan ezen a nevén is ismerik. 
Nagyon hasznos szerviz, különösen akkor, ha erőt véve ma- 
gunkon, komoly elszánással elhatározzuk, hogy nem az Ad- 
ministrators csoport tagjaként fogunk dolgozni a jövőben a 
gépünkön. Ez nemes és respektálható cél, de azért néha 
mégis szükséges, hogy legyen magasabb jogosultságunk. 
Kilépés/belépés helyett viszont használhatjuk ezt a szolgálta- 
tást arra, hogy az adott alkalmazást, processzt egy másik fel- 
használó jogosultsági környezetében futtassuk, természete- 
sen csak addig, amíg be nem zárjuk az alkalmazást. Ritkán 
fordított szituációban is megtörténhet a felhasználása: szeret- 
nénk gyorsan megtudni, hogy egy adott felhasználó képes 
lesz-e az adott programot futtatni, eléri-e a szükséges map- 
pákat, állományokat a saját jogosultsági szintjével. 


ő 


CREEK AI 
8 which user account do you want to use to run this program? 


C Current user (DEMOSP1demouser) 
IZ Run this program with restricted access. 
This option helps prevent programs from using administrator, 
privileges Ea harm your computer, If you select this option, and 
the program relles on these privileges, ít right behave improperly, 
( The following user: 
User name: 


£2 DEmospniadministrator 5] 


Password: 








A kép magáért beszél 


Másik előnye ennek a szerviznek, a parancssori RunAs.exe 
működése. Ezzel alkalmazásokat, MMC konzolokat és egyéb 
parancsikonokat is képesek vagyunk , izmosan" futtatni: 


runas /user:domain nevVuser nev mmc.exe 


Vagy akár közvetlenül a Disk Management bővítményt: 


runas /user:domain nevVuser nev diskmgmt .msc 


Amennyiben egy Control Panel parancsikont (.cpl) szeret- 
nénk futtatni, használjuk ezt a listát [4]. Tartományi Windows 
2000 Professional esetén nekem csak a ,control" szóval 
együtt ment: 


runas /user:administrator "control appwiz.cpl" 


További tippekhez Aaron Margosis blogját [5] ajánlanám, 
ahol viszonylag kevés, de annál remekebb cikket olvashatunk 
ebben a témában. 

Ha a szervizt leállítjuk, szükség esetén elindul, ha letiltjuk, 
nem használhatjuk sem a parancssori eszközt, sem a helyi 
menüben lévő megfelelőjét. 


Security Accounts Manager 
(Biztonsági fiókkezelő) 
A szerviz rövid neve: Sam$Ss 
Az alkalmazás neve: Isass.exe 
Függés: Remote Procedure Call 
Függesztés: DHCP Server, Distributed File System, Distri- 
buted Transaction Coordinator, IIS Admin Service, FTP 
Publishing Service, HTTP SSL, World Wide Web Publi- 
shing Service, Microsoft POP3 Service, Network News 
Transfer Protocol, Simple Mail Transfer Protocol, Intersite 
Messenger Service, Windows Internet Name Services, 
Message Oueuing, Message Oueuing Downlevel Client 
Support, Message Oueuing Triggers 
Porthasználat: - 
Alapértelmezett indítás: automatikus 
A SAM (Security Accounts Manager) egy olyan kiemelt biz- 
tonsági komponens, amely az LSA-val, a NetLogon szerviz- 
Zel, LSA Server-rel és az SSP/AP-vel (Security Support Provi- 





ders/Authentication Package) együtt az Isass.exe processz 
biztonsági környezetében fut. Gyakorlatilag ezek egy Win- 
dows operációs rendszer biztonsági sarokkövei. A SAM fela- 
data az, hogy a (helyi) felhasználók, csoportok, és jelszavak 
(Windows 2000-től kezdve a munkaállomás fiókok is) tárolá- 
sát intézze. A SAM a Samsrv.dll-ben , lakik" a tárolandókkal 
együtt, az említett adatbázis pedig önmagában a regisztrá- 
ciós adatbázis HKLMISAM ágában is megtalálható (plusz a 
(System3AConfigiSAM állományban). Az említett HELMISAM 
ágat hiába keressük, csak a SYSTEM felhasználó láthatja, 
azaz még az Administrator sem. 


Registry Editor 


My Computer 
CH HKEY CLASSES ROOT 
CI HKEY. CURRENT. USER 
A CI HKEY LOCAL MACHINE 
CI HARDWARE 
a GEN 
5-ÉT SAM 
a CI Domains 
a CI Account 
a CI Aliases 
CI 000003E9 
CI 000003ED 
a CI Members p 
a CI s-1-5-21-583907252-6513778 
CI 000003EA 
(CI 000003EE 
CI Names 
a CI Groups 
CI 00000201 
As CI Names 
zag ) None 
CI Users 
A CI Builtin 
CI Aliases 
CI Groups 
a CI Users 
CI RXACT 
CH SECURITY 
CI SOFTWARE 
CI SYSTEM 
HC HKEY USERS 








Amit elvileg nem lehet látni 


Ezen adatok tárolása egy tartományba léptetett számítógép- 
nél már az AD dolga, ám a helyi adatok ekkor is megmarad- 
nak. A tartományvezérlő esetén azonban nem, hiszen ott 
nincs helyi adatbázis, pontosabban összesen egy felhaszná- 
ló marad a SAM-ban, ez pedig a Directory Services Restore 
Mode fiók (amelyet az AD telepítésekor adunk meg, ergo 
meg nem egyenlő a helyi Administrator jelszavával!). 


A szervizt természetesen nem lehet leállítani a Services 
MMC-ből. Le lehet viszont tiltani az újraindítás utáni automa- 
tikus indulást, de ne tegyük meg ezt a lépést semmiképp, 
mert számtalan komponens függ tőle. 
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Server 
(Kiszolgáló) 
A szerviz rövid neve: LanmanServer 
Az alkalmazás neve: srvsvc.dll (svchost.exe) 
Függés: - 
Függesztés: Computer Browser, Distributed File System 
Remote Installation 
Porthasználat: TCP: 139, 445; UDP: 137, 138, 139, 445 
Alapértelmezett indítás: automatikus 
Ez a szerviz szintén fontos, az adott gép erőforrásainak 
megosztásához szükséges, konkrétan RPC támogatást nyújt 
az állomány-, nyomtató- és named pipe (alkalmazások közöt- 
ti) megosztásokhoz a hálózaton keresztül. 
Ha letiltjuk, ezekhez a megosztásokhoz nem lehet hozzáfér- 
ni, ám nem léteznek megosztások, vagy nincs is hálózatban 
a gép, akkor nincs rá szükség. 


Shell Hardware Detection 
(Rendszerhéj hardverfigyelése) 

A szerviz rövid neve: ShelliWDetection 

Az alkalmazás neve: shsvcs. all (svchost.exe) 

Függés: Remote Procedure Call 

Függesztés: Windows Image Acguisition (WIA) 

Porthasználat: - 

Alapértelmezett indítás: automatikus 
Szép nevű, ám funkciójában inkább hétköznapi szolgáltatás- 
ról van szó. Az automatikus indítás (AutoPlay) opcióhoz nyújt 
támogatást, amely képek, zene vagy videóanyagok érzéke- 
lését és automatikus megnyitását jelenti egy eltávolítható mé- 
diáról/eszközről. Azaz ha pl. egy MP3 lejátszót vagy egy di- 
gitális tényképezőgépet bedugunk az USB portba, akkor an- 
nak tartalmát rögvest megpróbálja lejátszani a hozzárendelt 
alkalmazás segítségével az operációs rendszer ezen szervi- 
zen keresztül. A szerviz rengeteg médiát/eszközt támogat: pl. 
Zip és Jaz meghajtókat, CompactFlash, SmartMedia és Me- 
mory Stick kártyákat vagy éppen egyéb PC kártyákat, USB 
és IEEE1394 eszközöket. Tartalom szerint pedig: képeket, 
(.jpg, .bmp, .gif, .tif), audio anyagokat (.mp3, .wma) és vide- 
óanyagokat is (.mpg, .asf). 
Ha leállítjuk vagy letiltjuk, akkor elveszítjük ezt a , hardveres" 
automata lejátszás funkciót, viszont más ismert hatása nincs. 


GÁL TAMÁS 
MCT, MCSE, MCSA, MVP 
gtamasatjszki.bu 


[1] http:/ / tinyurl.com/ 6pBcy 

[2] http: / tinyurl.com / SvxSy 

[3] http:/ / tinyurl.com/ 88rnu 

[4] http:/ / support.microsoft.com / ?kbid-1928068s5d-RMVP 
[5] http:/ /blogs.msdn.com/ aaron margosis/ default.aspx 











IT folyamatok 
a hazai gyakorlatban 


ÉRTÉKELÉS 


Az elmúlt években sok (és sokféle) vállalatnál 


megfordultam, és azt tapasztaltam, 





hogy nemcsak az egyes szervezetek adottságai 


térnek el egymástól, hanem azt is, ahogyan 


ezeket kihasználják, ahogyan élni tudnak a lehetőségekkel. 


Idővel rá kellett jönnöm, hogy tökéletes vállalat nincs, 


mindig, mindenhol van mit javítani. 


Mottó: , Nem szükséges változtatni. A túlélés nem kötelező." 
(W. Edwards Deming, 1900-1993) 


acionális gondolkodásom nem fogadta el elegendő 
bizonyítékként a saját tapasztalataimat, mások segít- 


ségére is szükségem volt ahhoz, hogy általános ké- 
pet kaphassak a mai, valódi hazai helyzetről. Ez motivált egy 
kérdőív elkészítésére, amelyben különböző kérdéseken ke- 
resztül arra próbáltam választ találni: mennyire szervezettek 
az IT folyamatok és csapatok, mekkora hangsúlyt fektetnek a 
cégek a minőség javítására, stb. 
A kérdőívre összességében több mint 50 válasz érkezett, kü- 
lönböző méretű és típusú vállalatok különböző beosztású dol- 
gozótitól. [1] 


Szervezeti felépítés 

A felmérésben részt vevők munkahelyének szervezeti felépí- 
tésére vonatkozó információkhoz három kérdéssel igyekez- 
tem közelebb kerülni: a vállalat mérete, valamint a válaszadó 
beosztottainak és feletteseinek száma alapján csoportosítot- 
tam.A szervezet méretét tekintve csaknem egyenletes elosz- 
lást kaptam a 10 főnél kisebb létszámtól egészen a 200 főnél 
többet foglalkoztató mamutvállalatokig. A legkevesebb vá- 
laszadó (15.3896) a 25-50 fős intervallumból, míg a legtöbb 
(28.8599) az 50-200 fő közötti sávból volt. 

A felettesek és beosztottak száma közötti összefüggést meg- 
vizsgálva arra a következtetésre jutottam, hogy a válaszok 
nagy része a középvezetők és beosztottak köréből került ki — 
ennek a ténynek a későbbiekben lesz jelentősége, amikor azt 
vizsgálom, mennyire van rálátásuk az egyes folyamatokra. 


Minőségügyi tanúsítványok 

Mint azt már többször hangsúlyoztam, a tanúsítványok meg- 
léte nem ekvivalens a minőséggel — ugyanakkor a piaci pozí- 
ció megőrzéséhez ma már egyre fontosabb, hogy rendelkez- 
zünk valamilyen , papírral". 
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Az ide vonatkozó kérdéssel az ISO 9000, illetve a CMM és 
CMMI tanúsítványok arányát kívántam felmérni. Az ered- 
ményt az alábbi diagram szemlélteti: 


4. Minőségi tanúsítványok 


a fentiek közül 
egyik sem 


egyéb 





Minőségügyi tanúsítványok aránya 


A kimutatásból jól látható, hogy a szervezetek csaknem fele 
nem rendelkezik minőségügyi tanúsítvánnyal — akik pedig 
igen, azok jelentős része I50 9000 szerint auditált szervezet. 


Szoftverfejlesztési módszertanokra 
vonatkozó ismeretek 
A kockázatkezelés témakörében megfogalmazott állítások 
némileg megosztották a válaszadókat, ám összességében 
elmondható, hogy a legmagasabb arányú szavazatokat a 
kockázatkezelésre valóban igaz állítások kapták: 
m A rKkockázat olyan jövőbeli esemény, amely a projekt si- 
kerességét befolyásolhatja. 
m Az azonosított kockázatok bekövetkezése nem szük- 
ségszerű. 
mu Hanem készülünk fel valamely kockázatra, kellemetlen 
meglepetések érhetnek. 
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o 
w 


MARKETING eaoo 


mu A kockázatkezelésben felhasználhatjuk korábbi ta- 
pasztalatainkat. 
mu A kockázatok felmérése és kiértékelése a projekt során 
folyamatos. 
m Egy kockázati állítás , HA ... AKKOR ..." formájú kijelen- 
tésekből állhat. 
Meglepő módon azonban néhány nyilvánvalóan hamis állí- 
tásra is érkezett szavazat -— ezt a válaszadók vállalaton belüli 
helyes állítást bejelölte volna — a legtöbben (46.1596) 2 állítást 
ismertek fel, 3 vagy annál több helyes válasz mindössze 
15.3896-tól érkezett. [2] 
Hasonló a helyzet a konkrét módszertanokra vonatkozó isme- 
retekkel is: az MSF (Microsoft Solutions Framework), a RUP 
(Rational Unified Process) és az XP (Extreme Programming) 
kérdéseire nagy százalékban nem válaszoltak, illetve a vá- 
laszt adók közül igen nagy volt a hibázók aránya: [2] 
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MSF 25.0099 32.699 42.319 
RUP 19.239 50.009 30.779 
XP 1 találat: 36.469 ] 2590 23.0899 
(alaptényezők) ! 2 találat: 9.629 / (0 találat) 

3 találat: 3.8596 

4 találat: 096 
XP (40 órás 51.9299 23.0890 
munkahét) 


A (belső) képzésekre 

vonatkozó kérdések 

A szervezetek életében a képzésekre fordított idő és energia 
mindig kritikus kérdés: az oktatás, továbbképzés ugyanis s0- 
kak véleménye szerint (felesleges) költség, azt azonban nem 
veszik figyelembe, hogy ugyanakkor egyfajta befektetés is — 
befektetés a jövőbe. 

A probléma fontossága miatt a kérdőív számos pontja foglal- 
kozik ezzel a témával, hogy minél finomabb képet kaphas- 
sunk. 

A kialakult képzési rendszerre vonatkozó két kérdés (, Kiala- 
kult, hatékony belső képzési rendszerünk var", illetve ,Kiala- 
kult képzési rendszerünk van, de az egyáltalán nem haté- 
kony") értékelésében azt láthatjuk, hogy mindkét esetben az 
1..3 intervallumon találhatjuk az értékek maximumát! , ami saj- 
nos arra utal, hogy túlnyomórészt egyáltalán nincs kialakult 
belső képzési rend a szervezeteknél. 

Ahol azonban már kialakításra került ilyen rendszer, némileg 
nagyobb tábort képviselnek a hatékonyságra voksolók (mint- 
egy 0.86 ponttal magasabb értékkel). 

A képzések kialakításával kapcsolatban a jelenlegi, illetve a 
várható jövőbeli projektek figyelembe vételére kérdeztem rá. 
Az előbbi egyfajta , tűzoltás"-jellegű megközelítés, amellyel 
arra próbáljuk megtanítani (továbbképezni) az embereket, 
amivel éppen foglalkoznak. Nyilván szükség van az ilyen jel- 
legű tanfolyamokra, előadásokra, szemináriumokra is, ám 
sokkal inkább hosszú távú, stratégiai gondolkodásmódot tük- 
röz a második típusú képzés, vagyis amely során elsősorban 





" Az értékelő jellegű kérdésekre minden esetben 1 és 10 közötti pont- 
számok adhatók, ahol 10 jelenti az abszolút egyetértést, 1 a teljes 
egyet nem értést. 


m 


a jövőre tervezünk. Az értékelés alapján azt mondhatom el, 
hogy napjainkban a szervezetek elsősorban a jelenre kon- 
centrálnak. Ennek oka - feltételezésem szerint — kettős lehet: 
egyrészt sokkal egyszerűbb a ,mának élni", mint hosszú tá- 
vú terveket készíteni; másrészt a rohanó világ, a megrendelők 
hozzáállása is sokkal inkább ezt a megközelítést preferálja 
(az igények igen gyakran változnak). 

Az alábbi táblázat a hosszúc- illetve rövid távra tervezők ará- 
nyát mutatja, feltételezve, hogy ,nagy hangsúlyt" a 6-nál na- 
gyobb értékek jelentenek a kérdőív során használt 10-es 
skálán: 


Hangsúlyos: 


Rövid távú képzési stratégia: 32.629 
Hosszú távú képzési stratégia: 25.0099 
Együtt mindkettő: 17.3196 


A képzések szervezése mellett fontos még az is, hogy a részt- 
vevőknek milyen visszacsatolási lehetőséget biztosítunk, illet- 
ve ők mennyire élnek ezzel. Sajnos ez a két tényező 
mindössze középszerűnek mondható a felmérésben részt 
vevők körében (van visszacsatolási lehetőség: 5.65; élnek ve- 
le a résztvevők: 5.35), vagyis itt még van mit fejleszteni. 
Ebbe a kérdéscsoportba tartozik az éves szinten képzése- 
ken, tanfolyamokon, konferenciákon eltöltött időre vonatkozó 
pont, amely szintén érdekes eredményt hozott: 


4. Képzésekre fordított idő / év 


—— 326996 


gyakorlatilag 
serrennyit 


kevesebb, rrint 
1 hét 





Képzésekre fordított idő/év 


Az emberek több mint 7096-a tehát idejének kevesebb mint 
492-át tölti továbbképzésen - pontosabban szervezett to- 
vábbképzésen. Sajnos, az önképzés arányairól nem rendel- 
kezem adatokkal. 


Az emberek nyitottsága, 
vállalkozókedve 

Egy informatikai cég esetében az új dolgokra való nyitottsá- 
got alapvetően két nagy kategória köré lehet csoportosítani: 
az új technológiák, illetve új feladatkörök iránti érdeklődésre. 
A kérdőívben az ennek megfelelő kérdésekre 5.40, illetve 
5.94 pont adódik - érdekes tény, hogy az új technológiákat 
jobban szeretik az emberek, mint az új feladatokat. Az egyes 
válaszadók körében a két kérdésre adott pontszámok közöt- 
ti átlagos eltérés 1.37 — a maximum 7 (új feladatkör: 9 pont, új 
technológia: 2 pont), és a válaszok csaknem egyharmadá- 
ban a két érték megegyezik. A mérleg tehát többnyire nem, 
vagy csak kis mértékben billen egyik vagy másik irányba, ami 
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arra utal következtetni, hogy a két tényező szorosan össze- 
függ: az új feladatkör hozhat új technológiai igényt, és a tech- 
nológiaváltás is járhat új szerepkör betöltésével. 


Kommunikáció 

Közhely, mégis igaz állítás, miszerint a jó kommunikáció fél si- 
ker. Ez egyaránt vonatkozik az ügyféllel történő kapcsolattartás- 
ra, ám a vállalaton belüli, kollégák közötti párbeszédekre lega- 
lább annyira. Ezeknek a megnyilvánulása természetesen rend- 
kívül sokféle lehet: a hivatalos levelezéstől kezdve a megbeszé- 
léseken, telefonkonferenciákon át a konyhai-folyosói beszélge- 
tésekig széles a skála. Mindezek szerepe azonban ugyanaz kell 
legyen, a konkrét formától függetlenül: a szervezet működésé- 
nek, összetartásának, hatékonyságának javítása. A kérdőívben 
ezzel kapcsolatban éltem az úgynevezett , negatív megfogal- 
mazás" eszközével: a szakemberek szerint ugyan kerülni kell 
ezt a formai megnyilvánulást, hiszen már ezzel is bizonyos 
előítéleteket sugárzunk a válaszadók felé, ám célom pont az 
volt, hogy felhívjam a figyelmet arra: a kommunikációs nehéz- 
ségek is számos probléma forrásaként szolgálhatnak! 

A válaszok tulajdonképpen három nagy csoportra oszthatók, 
melyek között éles határ húzódik: 

m 4 pontalatt helyezkedik el a vállalatok csaknem 3096-a, 
vagyis rájuk igaz az, hogy nem nehézkes a kommuni- 
káció, jól mennek a dolgok, hatékonyan tudnak együtt- 
működni. 

m 4és8pontközött a megkérdezettek 5096-a található, itt 
tehát vegyes tapasztalatokról, megoszló élményekről 
és véleményekről beszélhetünk (megjegyzésként több- 
ször előfordult: , attól függ. ..") 

m 8 pont felett mintegy 2096 található, itt egyértelműen ne- 
hézkes, akadozó akommunikáció, az embereknek nehéz- 
ségeik vannak az együttműködéssel, gyakran még az 
egymás mellett ülők sem tudják, mivel foglalkozik a másik. 





25,0096 


200096 §— 


Nehézkes a vállalaton belüli kommunikáció 


A fejlesztők kihasználtsága 

Az emberi erőforrások kihasználtságának szempontjából kétfé- 
le megközelítés között kell megtalálnunk az egyensúlyt. Egy- 
részt, ha az üzletmenet közvetlen, rövid távú érdekeit nézzük, 
nyilván a minél jobb kihasználtság az előny, vagyis ha az a 10090 
felé konvergál. A másik oldalról azonban a folyamatos, magas 
szintű leterheltség hosszú távon nincs jó hatással a minőségi 
munkavégzésre, az emberek egy idő után fáradnak, kimerülnek. 
Ezen kívül az ön- és továbbképzésre is biztosítani kell időt és le- 
hetőséget számukra, hiszen — mint azt már említettem — ez egy- 
fajta befektetés, ami a jövőben többszörösen megtérül. 
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Végül egy gyakorlati szempont is a leterheltség csök- 
kenítjése mellett szól: egy projekt alapú szervezetben igen 
nehéz az erőforrásokat úgy ütemezni, hogy mindenkire folya- 
matos, egyenletes terhelés jusson, és a folyamatokba is cél- 
szerű tartalékokat beépíteni. 

Mindezen szempontokat figyelembe véve úgy gondolom, az 
optimális terhelési arány 60-7096 körül mozog: így a szerve- 
zet hatékonyságán sem esik csorba, és a megfelelő szabad- 
időt is biztosítani tudjuk (amely képzésekre, stb. fordítható). 
Sajnos a felmérés ennél rosszabb eredményt, magasabb ter- 
heltséget mutat: a fejlesztők több mint 6099-a 7599-nál jobban 
terhelt, sőt a 9099 feletti terheltséggel élők majdnem 3096-ot 
képviselnek! 
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A fejlesztők átlagos kihasználtsága 


Projektirányítással, minőség- 
biztosítással kapcsolatos 
fogalmak ismerete 
A kérdőívnek ez volt az egyetlen úgynevezett , kifejtős" kér- 
déscsoportja: a válaszokat nem előre adott halmazból kellett 
meghatározni, vagy pontszámokkal értékelni, hanem önálló 
megfogalmazásokat vártam az alábbi négy fogalomra: 

m projekt 

m projektmenedzsment 

mM minőség 

m  minőségbiztosítás 


Azzal, hogy nem adtam támpontot a válaszokhoz, célom az 
volt, hogy a kérdőívet kitöltők teljes mértékben saját gondola- 
taikat fogalmazzák meg. 

A ,projekt" fogalmát viszonylag jó arányban sikerült megha- 
tározni: 


meghatározott cél 51.829 
(termék vagy szolgáltatás) 

határidő 21.1596 
költségkeret 17.309 


9.629 


ideiglenes szervezet 


(válaszadók aránya: 61.5496) 


A felsorolt 4 projekt-tényező mellett többen utaltak még a 
minőségre, mint alapfogalomra, illetve a megrendelő szüksé- 
gességére is. Sajnos többeknek igen rossz véleménye van a 
projektekről és a tapasztalt projekt-kultúráról (, valami, ami a 
vezetőknek azonnal kell, a szakemberek véleménye meg 
nem érdekes"). 
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A ,projektmenedzsment" önmagában egy kétértelmű foga- 
lom: jelentheti azt az irányító-koordináló szervezetet, akit ma- 
gyarul ,projektvezetőségnek" hívhatunk, ám az irányításhoz, 
összefogáshoz kapcsolódó tevékenységeket is. Ez a ket- 
tősség a válaszokban is tükröződött, sőt sokan egyik kategó- 
riába sem sorolták, hanem egy eszköztárnak, módszertannak 
tartják a fogalmat. 


Projektmenedzsment jellemző Arány 


tevékenység (ütemezés, Össze- 34.629 
fogás, irányítás, koordinálás stb.) 

személy/ szervezet, szerepkör 15.3899 
eszköztár 5.779 
célja a siker elérése 23.0896 


(válaszadók aránya: 61.5496) 


A következő vizsgált fogalom a ,minőség". A kapott ered- 
ményt az alábbi táblázat foglalja össze: 


Minőség jellemző Arány 


a termékkel/ szolgáltatással kapcsolatos — 25.0095 
követelményeknek való megfelelőség 
objektív, az adott projekttől független 21.1599 
követelményeknek való megfelelőség 
ügyfél-elégedettség 13.469 


(válaszadók aránya: 61.5496) 


A , minőségbiztosítás" valaki szerint egyetlen szóval megfo- 
galmazható: , pénz". Az emberek többnyire három nagy kate- 
góriába sorolták a fogalmat: keretrendszernek, tevékenység- 
nek vagy egyszerű ellenőrzésnek tartják. A termék- és a fo- 
Ilyamatminőség különbségére is felfigyeltek néhányan, sőt 
többen megfogalmazták azt is, hogy a minőségirányításnak 
nem szabad elválnia a cég irányításától. 


Minőségbiztosítás jellemző Arány 


keretrendszer, módszertan 15.3896 
tevékenység 23.0799 
ellenőrzés 15.3890 
termékminőség 13.4699 
folyamatminőség 7.6999 


(válaszadók aránya: 57.6996) 


Összességében tehát az fogalmazható meg, hogy az embe- 
rek nagy része (6096 körül) megpróbálta megfogalmazni eze- 
ket a fogalmakat, melyek gyakran még a szakemberek szá- 
mára is problémát okoznak: például nem véletlen a sokféle 
projektdefiníció. 

Nemrégiben egy projektmenedzseri konferencián több éve- 
évtizede a szakmában dolgozó szakemberek (akik mögött 
többszázmilliós-milliárdos projektek állnak) ebéd közben ar- 
ról vitatkoztak, hogy tulajdonképpen mi is a projektmenedzs- 
ment. Habár számos jellemzőjét sikerült összegyűjteni, 
megállapodásra nem sikerült jutniuk. 
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Fejlesztési projektek 

általános jellemzői 

A kérdőívben felmért projektek alig több, mint 10 százaléka 
mondható igen kis, 3 hónapnál rövidebb átfutásúnak. Az e fö- 
lött megadott intervallumok eloszlása 2095 és 3596 között osz- 
lik meg. 

Sajnos a projektek átlagos szervezettsége (terjedelemtől füg- 
getlenül) nem mondható túl jónak. Először is, még napjaink- 
banis sok a vízesés-jellegű folyamat — ami kis terjedelmű pro- 
jektek esetén elfogadható lehet, ám itt az derült ki, hogy még 
az egy évnél hosszabb projektek 2796-a is ilyen jellegű! 

A másik tényező, ami a kérdőív tanúsága szerint hiányzik a 
magyar szoftverkultúrából, az a prototípus készítésének gya- 
korlata (vagy igénye). Ennek oka elsősorban az lehet, hogy a 
megrendelők nem érzik hasznosnak, csupán a költségnövelő 
mivoltát látják — a fejlesztő cégek pedig általában olyan határ- 
idők szorításában dolgoznak, amelynek betartásához rendkí- 
vül szoros, feszített tempóra van szükség, amely nem enge- 
di meg a ,kísérletezés" luxusát. 

A látszólagos többlet energia-befektetés azonban az esetek 
jelentős részében gyorsan megtérül: a prototípus készítése 
során ugyanis olyan problémák kerülhetnek felszínre, ame- 
lyek később igen nagy kockázatot jelenthetnek. A korai felis- 
merés viszont nemcsak a feltárás, de a megoldás költségét 
és időtartamát is jelentősen csökkentheti — a projekt egészé- 
re nézve így nyereségről beszélhetünk. 





1-2 hónap 3-6 hónap fél-egy év egy évnél hosszabb 





a leginkább vízesés jellegű 

ma iteratív 

OD inkrementális 

0 többnyire készítünk prototípust a végső termék fejlesztése előtt 








Összefüggés az egyes projektjellemzők 
között 


A folyamatok szervezettsége 

Mint azt fentebb említettem, a válaszok jelentős része arra en- 
ged következtetni, hogy a hazai vállalatok nem állnak túl jól a 
szervezettség kérdését illetően. Két kérdés erre közvetlenül 
is rákérdez, és az itt kapott pontok valamivel fényesebb ké- 
pet mutatnak: a , jól meghatározott folyamatmodell" 5.13, míg 
az ,ad hoc módon történő fejlesztések" 4.83 pontot kaptak. 
Első ránézésre e két értékből arra következtethetnénk, hogy 
a válaszadók konzekvensen értékeltek: ha X pontot adtak a 
szervezettségre, akkor 10-X pontot kapott az ad hoc megol- 
dás. Sajnos azonban ez nem így történt: a két érték összegé- 
nek átlaga ugyan 9.91 (10-hez igen közeli érték), ám a kapott 
pontszámok 2 és 14 között szóródnak! 
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A szervezett és ad hoc folyamatok pont- 
szám-összegének szórása 


Mint az a diagramon jól látható, a görbe maximuma valóban 
10 körül található, ám a válaszok jelentős része (2099) lega- 
lább 2 ponttal eltér a várt eredménytől. Ez sajnos annak tud- 
ható be (véleményem szerint), hogy a válaszadók egy része 
nincs teljesen tisztában a náluk zajló folyamatokkal, azon jel- 
lemzőivel — ők azok, akik , gépiesen" végzik munkájukat. 
Részben ehhez a kérdéskörhöz kapcsolódóan azt is megál- 
lapíthatjuk, hogy a szervezetek nagy része (elvárásainknak 
megfelelően) projekt-alapú működést mondhat magáénak. 


A megrendelői igények 

Nemcsak a projekt-alapú, de minden más profitorientált szer- 
vezet működésének is alapja az ügyfél, aki igényei kielégíté- 
séért fizetségben részesít bennünket. Folyamataink tehát so- 
hasem öncélúak! Még ha saját, úgynevezett , belső" projekt- 
jeink futnak is, azok felfoghatók úgy, mintha mi magunk len- 
nénk a saját ügyfelünk, a , fizetség" pedig a hosszú távon tör- 
ténő megtérülés. 

A megrendelőknek tehát igényei vannak: leggyakrabban 
ezek konkrét, a projekt tárgyát képező elvárások — nem ritka 
azonban az sem, amikor az ügyfél magába a folyamatba is 
beleszól. Ilyenkor többnyire ő maga is részese a fejlesztés- 
nek, bevonjuk a megvalósításba, ezért jogos, hogy megfogal- 
mazza ezzel kapcsolatos igényeitt is. 

A kérdőívben megkérdezettek többnyire a megrendelő igényei- 
hez igazított folyamatokat látnak: erről tanúskodik a 7.75-ös át- 
lagpontszám, és a kérdéshez tartozó válasz-görbe alakja is: 








Megrendelőhöz igazított folyamatok 


A megrendelő ugyanakkor nemcsak azt határozza meg 
(legalább részben), hogy hogyan zajlanak a folyamatok, ha- 
nem természetesen azt is, milyen végeredményt kell elér- 
nünk. A felmérés válaszai szerint az új fejlesztési igények 
(7.37 pont) és a korábbi fejlesztésekkel kapcsolatos javítási, 
bővítési, modernizálási igények (7.06) csaknem azonos 
arányban jelennek meg a megrendelések között. 

Ha azonban az egyes válaszokat külön-külön vizsgáljuk, azt 
láthatjuk, hogy vállalaton belül általában az új fejlesztési igé- 
nyek vannak túlsúlyban: 











-10 9 -8 7 6-5 4 32-40 
Korábbi fejlesztésekkel kapcsolatos 
igények 


1234567 68910 
Új fejlesztési igények 





A fejlesztési igények megoszlása 


Tesztelés 
A következő kritikus kérdéskör a tesztelés: ugyan senki nem 
vitatja a hibajavítás aránylag magas költségvonzatait, mégis 
kevesen ismerik fel az alapos tesztelés előnyeit. A kapott vá- 
laszok némileg magasabb pontszámokat tükröznek ugyan az 
elvártnál, ám ez szintén adódhat a válaszadók csapaton be- 
lüli pozíciójából és elfogultságából egyaránt (, én fejlesztő va- 
gyok, jól dolgozom, miért kell ennyi időt elpazarolni a teszte- 
lésre?"). A teszteléssel kapcsolatosan három kérdést fogal- 
maztam meg, amelyek a fejlesztői, az üzleti és az üzemeltetői 
tesztek fontosságára vonatkoztak. A részletes értékeléstől el- 
tekintve most csupán az összesítést ismertetem, amely teljes 
képet ad a felmért tesztelési kultúráról. Az alábbi ábra a vála- 
szok eredményéül kapott görbét mutatja, illetve az ehhez tar- 
tozó trendet: a mérleg átbillen ugyan az értékek felső tarto- 
mányába, ám a csúcs a 7 körüli értékeknél található (6-8), sőt 
9 vagy 10 pontot mindössze a válaszadók 596-a ért el - a 
kérdőívet kitöltőók csaknem 1596-a pedig 5 pont alatti átlagot! 
Ez pedig azt jelenti, hogy igencsak van még mit javítani a fo- 
lyamatokon. 
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Tesztelés 


Összegzés 

Napjaink IT vállalatai csak úgy tarthatják meg piaci pozíció- 
jukat, ha megfelelő figyelmet fordítanak folyamataik 
minőségbiztosítására: összefogott, hatékony munkavégzés- 
re van szükség. Ehhez azonban jól kell ismerni adottságain- 
kat, lehetőségeinket és képességeinket, sőt az adott piacot 
is, ahol fenn szeretnénk maradni — sőt, esetleg erősödni. 
Kérdőívem célja ebből eredően kettős volt: egyrészt jóma- 
gam szerettem volna információhoz jutni a hazai vállalatok 
helyzetéről, másrészt reményeim szerint kérdéseim gondo- 
latébresztőként szolgálhattak mások számára is. 

Úgy érzem, célom sikerült elérnem: nemcsak összehasonlí- 
tási alapot kaptam, hanem értékes véleményeket, hozzá- 
szólásokat is. Az ember nem élhet elszigetelten, ismernie kell 
környezetét ahhoz, hogy értékelni tudja saját és közvet- 
len környezete helyzetét. A beérkezett válaszok megerősí- 
tettek abban, hogy van mit javítani — ám a helyzet nem re- 
ménytelen. 


Megjegyzés 
A kérdőív publikálása levelezőlistákon, illetve személyes web- 
oldalamon [3] történt, így pontosan nem tudom megmonda- 
ni, kikhez jutott el. Néhány esetben a megjegyzés rovatban 
kaptam utalást arra, hogy néhányan önszorgalomból is ter- 
jesztették az elérhetőségét. Többen feltüntették e-mail címü- 
ket vagy egyéb elérhetőségüket, hogy az eredmény elkészül- 
te után tájékoztassam őket — természetesen ezeket az adato- 
kat nem vettem figyelembe a kiértékelés során, és a megje- 
lölttől eltérő célra nem használom fel. 

MOLNÁR ÁGNES 


molnar. agnesa cleware.bu 


A cikkben szereplő URL-ek: 


[1] Ampontos kérdések, és a részletes értékelés: 

http:/ / www.cleware.hu/ agi/ kerdoiv 
[2] Testreszabott szoftverfejlesztési módszertanok: 

http:/ / www.cleware.hu/ agi /bme/HSIVBV. 2004osz.pdf 
[3] Személyes weboldal: http:/ / www.aghy.uw.hu 


Átkapcsolás a 54-bites 


megoldásokra 


Server 2003 x64 változatai és a Windows XP 

Professional x64 verziója. Az új verziók egyetlen 
platformon belül lehetővé teszik az új 64-bites alkalmazások, 
valamint a létező 32-bites alkalmazások csúcsteljesítményen 
történő futtatását. 


ég Zzéles körben elérhetővé váltak a Microsoft Windows 


A Windows Server 2003 x64 változatainak és a Windows XP 
Professional x64 változatának kifejlesztése során a Microsoft 
szorosan együttműködött az iparág vezető képviselőivel, köz- 
tük több chip- és hardvergyártóval. Ennek eredményeként az 
új operációs rendszer a 64-bites Intel Xeon és Intel Pentium 4 
processzorokon ugyanúgy fut, mint az AMD Opteron és 
Athlon 64 processzorokon. Az Intel Itanium processzor alapú 
rendszereken futó Windows Server 2003 továbbra is a legro- 
bosztusabb Windows platform. 

Az AMD Opteron és Intel 64-bit Xeon processzorokat támo- 
gató SOL Server 2000 Service Pack 4 is elérhető. Az új funk- 
cióknak köszönhetően a felhasználók 32-bites alkalmazáso- 
kat futtathatnak a 64-bites architektúrán. A Service Pack 4 ki- 
használja az adatbázis és a processzor architektúra között 
optimalizált erőforrás-gazdálkodás és teljesítmény szinergiát, 
annak érdekében, hogy az SOL Server 2000 felhasználói szá- 
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mára fokozott méretezhetőséget biztosítson. Az év második 
felére tervezett SOL Server 2005 szintén támogatni fogja az 
AMD Opteron és Intel 64-bites Xeon processzorokat, hogy a 
felhasználók egyszerre futtathassanak nagy teljesítményű 32- 
és 64-bites megoldásokat. 


A Windows Server 2003 x64 változatai és a Windows XP 
Professional x64 változata 32-bites megfelelőikkel azonos 
áron érhetők el. Azon ügyfelek, akik a Windows megfelelő 
32-bites változatát x64 hardverrel együtt szerezték be, jogo- 
sultak azt az új x64 változatra cserélni. A Microsoft mennyi- 
ségi licencelési ügyfelei ezt az adathordozó-készlet segítsé- 
gével tehetik meg. Azon ügyfelek, akik a Windowst egy 
OEM-től vagy rendszerépítőtől szerezték be, az új szoftver- 
hez a Technology Advancement Program keretében juthat- 
nak hozzá. 


További információ: 


http:// www.microsoft.com / windowsserver2003/ howtobuy/ 
licensing/ pricing.mspx 
http:/ / www.microsoft.com/x54 
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VRIN karantén 


WINDOWS SERVER 2003 t ISA SERVER 2004 


KÖRNYEZETBEN 


AVPRN csatlakozások számának növekedésével a VERNI 


karantén alkalmazása egyre többször kerül szóba. 


karantén kissé rosszemlékű szó. Nekem mindig 

Rejtő Jenő egyik nagyszerű könyve ugrik be erről a 

kifejezésről: ,A karanténban lehorgonyzott jármű- 
vekre egy kis őrhajó felügyel, amely háromóránként kifut a 
tengerre, és sorra veszi a járműveket. Az őrök errefelé kérde- 
zés nélkül lőnek, akár a partról, akár a tenger felől közeledik 
valaki." (Rejtő Jenő: Az elveszett cirkáló). 
Ám egy ideje már valami más, lényegesen földhözragadtabb 
téma is beugorhat minden üzemeltetőnek e kifejezéssel kap- 
csolatban. Pontosabban főleg azoknak, akik hozzáférést ad- 
nak azoknak az otthoni/utazó felhasználóiknak, akik nyilvános 
hálózaton keresztül férnek hozzá a cég belső hálózatához. Ha 
nem csak levelezésről, OWA-ról van szó, akkor célszerű VPN 
segítségével csatlakozniuk, hiszen maga a csatlakozás és a 
,csőben zajló" kommunikáció is biztonságos, ráadásul vi- 
szonylag egyszerűen megvalósítható mindkét oldalon illetve 
könnyenis szabályozható (többféle protokoll, házirendek, név- 
feloldás, stb.). De van egy súlyos hátránya is, mert bár a VPN 
ügyfél a sebességet leszámítva úgy érzi ugyan, mintha benti 
hálózatban dolgozna, és ennek szerfölött örül(het) is, ám mi 
igen rosszul érezhetjük magunkat, és szomorúak vagyunk: 
tudnillik nem hat rá semmilyen biztonsági óvintézkedés, ami 
bent megszokott. Nincs pl. központilag kötelezően bekapcsolt 
tűzfala, nincsenek csoportházirendből érvényesülő megszorí- 
tások, nincs központi helyről automatikusan frissülő, vírus- 
pajzzsal ellátott víruskereső, nincs a rendszergazda által felte- 
lepített, háttérben settenkedő antispyware program. Ezen kí- 
vül fogalmunk sincs, honnan kapcsolódik, és mi minden van 
feltelepítve a gépére, és még sorolhatnánk. De bent van a há- 
lózatban, terjesztheti a kártevőket, lehet rajta akár több ví- 
rus/spyware szóró automata, meg spéci SMTP szerver, futtat- 
hat bármit (akár a tudta nélkül is), hiszen egy átlagos felhasz- 
nálótól nem várható el, hogy odafigyeljen ezekre a dolgokra. 
Ez így viszont nem túl ésszerű, hiszen, hogy védjem meg a há- 
lózatomat, ha egyrészt adni akarok (muszáj) lehetőséget a tá- 
voli munkára, hozzáférésre, de a másik kezemmel meg olyat 
engedek meg, amit a belső hálózaton a legnagyobb jóked- 
vemben, a legtöbb kólát/sört/hamburgert/pizzát hozó ,júzer- 
nek" sem? Pedig így van, ez a dolog benne van a pakliban. 


De azért van némi gyógyír, 

ez pedig a VPN karantén, amelyet már az ISA 2004 előtt is ki- 
próbálhattunk, hiszen a Windows Server 2003 a Resource Kit 
Tools-sal és az RRAS-sal felturbózva kínál egy megoldást. Ám 
az ISA 2004-gyel mégis komplexebb (nemcsak port- és 
időtartamszűrő) és mégis egyszerűbb módszerhez jutottunk, 
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ezért főképp ezt a módszert vizsgáljuk meg. Természetesen 
nem tökéletes és hibátlan ez a technológia sem, de erről majd 
később lesz bővebben szó. 


A cikk kifejezetten gyakorlati szempontból közelít a témához, 
méghozzá 4 fő részre szelve azt: 
m Előkészületek és működés 
m Karantén beállítása az ISA szerveren 
m Profil léttehozása a Connection Manager Administrati- 
on Kit-tel (Csatlakozáskezelő felügyeleti csomag) 
m Profil kijuttatása az IIS/ISA párossal, illetve némi kliens 
oldali teendő 


Tehát először essen pár szó a karantén létrehozásának felté- 
teleiről és működésének alapjairól. 


Előkészületek 

m Nincs szükség különleges előkészületekre, és elvileg 
még a Windows Server 2003 sem szükséges, mivel az 
ISA 2004 lényegében , hozza" a szolgáltatást (igaz, a 
Windows 2003 Resource Kit Tools telepíthető, de a szük- 
séges szerviz telepítése sikerült, tovább viszont nem 
mentem ebben a környezetben). A Windows Server 
2003 $SP1 az ISA 2004-es megvalósítás esetén sem élet- 
bevágó feltétel, önmagában való alkalmazása esetén vi- 
szont kifejezetten hasznos, hiszen az SP1 telepítése 
után már külön szkript nélkül (lásd később) is megold- 
ható a VPN kapcsolat megtagadása, ha a kliensen nin- 
csenek telepítve a legújabb biztonsági frissítések. 

m Fontos elem viszont a Windows 2003 Resource Kit 
Tools [1], pontosabban a következő 4 komponense: 

mu Rags.exe: Remote Ouarantine Server 

mu Rac.exe: Remote Ouarantine Client 

m Ras setup.bat: a Remote Access Ouarantine Agent 
szerviz telepítője/beállítója (a szerveren) 

m RasMsg.dll: Remote Access Ouarantine Agent Messa- 
ge DLL 


Ezzel kapcsolatban felhívnám a figyelmet arra, hogy a Reso- 
urce Kit Tools kiadása óta frissítették az rgs.exe-t, amelyet a 
Resource Kit telepítése után (de csak ekkor) tudunk feltelepí- 
teni, és célszerűis, mert a Microsoft ajánlása szerint az új ISA- 
hoz ez kell [2]. 
m A rKkliensekről még nem beszéltünk, viszont bőven nem 
is kell, Windows 2000-től felfelé a kliens és szerver Win- 
dows-ok egyaránt alkalmasak erre a feladatra. 
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m Természetesen egy korrekt, működő VPN szerverre is 
szükség van, ISA 2004 alatt ez egyszerűen megoldható, 
ám erről itt most nem lesz szó, Tom Shinder viszont rész- 
letesen kifejti [3]. 


Hogyan működik? 

Eddig kiderült, hogy a Resource Kit ad két fontos komponenst, 
azaz a karantén ellenőrzési módszerének lényegi elemeit. E 
módszer szerint, amikor a speciálisan felturbózott VPN kliens 
csatlakozik, akkor az ISA beengedi, de egyelőre elkülöníti a 
Ouarantined VPN Clients ,hálózatba". Ekkor kezdődik az ér- 
vényesítés, azaz annak/azoknak a feltételnek/feltételeknek a 
lekérdezése, amelyet megkövetekhetjünk a VPN klienssel 
szemben. Néhány példa erre, jellemző , kérdések" zárójelben: 
tűzfal (be van-e kapcsolva?) 

ICS (ki van-e kapcsolva?) 

javítócsomagok (fent vannak-e a legírissebbek?) 
víruskereső (van-e? az adatbázis friss-e?) 

jelszó (elég komplex-e?) 

jelszavas képernyővédő (van-e?) 

stb., igény és persze programozói tudásszint szerint 
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VPN Ckentz 





Külön hálózata van a VPN-G klienseknek 


A gyakorlatban ezeknek a feltételeknek a lekérdezője/fi- 
gyelője az Ras.exe a szerveren, a megvizsgáló/küldő pedig 
az Rgc.exe a kliensen. Ha a feltételeknek megfelel a kliens, 
akkor az utóbbi egy speciális (ún. SIGNATURE) sztringet küld 
a szervernek és ezután az ISA 2004 kiemeli a karanténból és 
behelyezi a szimpla VPN kliensek közé. 

De hogyan kerül a kliensre pl. az Rgc.exe, hogyan és hol fut 
le az ellenőrzés? Mi alapján ellenőriz? Ezekre a kérdésekre a 
válasz a CMAK, amely egy jó sok (kb. 20) lépésből álló szer- 
veroldali varázsló. A varázslás során elkészítünk majd egy ún. 
CM (Connection Manager) profilt, amely egy .exe csomag, és 
amely magába foglalja a VPN-O klienst, az általunk legyártott 
ún. ,post-connect" ellenőrző szkripteket (.vbs, .cmd, .exe, 
.bat), az esetleges nyelvi válaszfájlokat és minden mást, amit 
le kívánunk küldeni a kliens gépre. Valamilyen úton-módon 
aztán lekerül (pl. letölti a delikvens a dedikált weboldalunkról), 
majd elindítja. A csomag a telepítés után rögvest bekéri a fel- 
használónevet/jelszót, csatlakozni próbál és siker esetén 
máris bekerül a karanténba. Így kerek a művelet. 


Karantén beállítása az ISA szerveren 
Tehát fussunk neki végre a gyakorlati tennivalóknak, magán 
a VPN szerveren, ami a mi esetünkben értelemszerűen az ISA 
Server 2004. 
m Miután feltelepítettük (és az ROS frissítést is), navigál- 
junk el parancssorban a Resource Kit Tools mappájába! 


C:NProgram FilesWWindows Resorce KitsiTools 
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A komplett folyamat 


Használjuk a következő parancsot a ,Remote Access 0ua- 
rantine Agent" szerviz telepítésére és beállítására. 


Ras setup /install 


Ezután a Computer Management MMC-ben a frissen kisütött 
szolgáltatás induló értékét automatikusról kézire állítsuk át 
(később lesz értelme). Ha esetleg később meg akarjuk szün- 
tetni a karantén funkciót, akkor a , remove" paraméter eltávo- 
lítja a szervizt és a leendő regisztrációs adatbázis bejegyzé- 
seket egyaránt. 








:XProgran FilesXWindous Resource KitsXToolsZrgs setup /install 
45. exe 
as. exe old 
asn:g.dl1 
az zetup.hat 
4 fileCs) copied. 


ou must add vour version string to the AllowedSet value of 

LNSyztenCarrentControlSettServicest§gs 
nd then start the service usiny "net start ryw" gou can nodify this 
atch file to fully autonate installíng and cönfiguriny Ras . 


:SProgran FilesXWindous Resource KitsXTools:2 





Ahogyan a szkript figyelmeztet is, nyissuk meg a regisztrációs 
adatbázist és tegyünk két bejegyzést a következő kulcs alá: 


HKEY LOCAL MACHINE N SYSTEM N CurrentControlSet N 
Services N rgs 


Az első általunk elkövetett bejegyzés ezen a kulcson belül 
egy Multi-String Value típusú legyen, a neve , AllowedSet" tar- 
talma pedig pl. , Version1". Ez az érték egy azonosító, amely 
a szkriptünk első sorában szintén ugyanezt a tartalmat fogja 
hordozni. A másik bejegyzés String típus legyen, a neve , Au- 
thenticator" az értéke pedig: 


C:NProgram FilesMicrosoft ISA ServerWpnplgin.d11 


Ez a bejegyzés fogja megsúgni az Rags.exe-nek, hogy kliens- 
oldali Rgc.exe-vel lefolytatott sikeres párbeszéd után, kinek 
küldje el a karanténból való kiengedésre szóló felszólítást. Ha 
például a Windows Server 2003-at használnánk a karantén 
megvalósítására, az érték a következő lenne. 


C: WindowsXSystem32Wprapi.d11 
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A Windows szolgáltatásokról szóló cikksorozatunk figyelmes 
olvasói nyomban megmondják, hogy ez maga az RRAS O. 
Ezzel a regisztrációs-adatbázisturkálást befejeztük, halad- 
junk tovább, indítsuk el az ISA Server MMC-t. 

Szükséges készítenünk egy tűzfalszabályt a VPN karantén- 
ban leledző klienseknek, azért, hogy a megkövetelt restrik- 
ciók teljesítése után a kliens tudja értesíteni a szervert, hogy 
immár szabad , leszedni" róla a karantént. Mivel alapesetben 
a VPN karantén ISA , hálózatra" semmilyen tűzfal szabály nem 
érvényesül, ezért e nélkül a megengedő szabály nélkül ez 
nem lehetséges. A szabály létrehozásának első lépése, hogy 
egy az új speciális protokoll készítünk. 

m A Firewall Policy-ra kattintva, válasszuk a legszélső pa- 
nelben (Task Pane) a Toolbox/Protocols elemet, majd 
New/Protocol. 

Bu Anévadás után New, majd adjuk meg a paramétereket 
(TCP/Outbond/7250-7250) és nem kívánunk másodla- 
gos kapcsolatot létrehozni. 





New Protocol Definition Wizard 





Primary Connection Information 
Which port number, protocol, and dírection are used for the primary connection? 














szaz TEJZISZTETTTZTTTE TT 21 3al 
7250 
Protocoltype: [EAN] FrotocolNumberi [8 
Direction: outbound 5] 
f Port Range 
Erom: 7250 Io: 7250 























Az új protokoll paraméterei 


Ezután jöhet a szabály, azaz lépjünk a baloldali faszerkezet- 
ben a Firewall Policy 2 New Access Rule menüpontra. 


New Access Rule Wizard NE xi 





Completing the New Access Rule 
Wizard 


You have successíully completed the New Access Rule 
Wizard. The new Access Rule wil have the following 
configuration: 


KEZTSLSE E 


Eng ROS karanten check 
Action 


2 

Állow 
Traffic: 
Source 

Ouatantined VPN Clients 
Destinatior 

Local Host 
Accepted user sets: 

j 


AN Users 
Hi 


To close the wizard, efick Finish. 
cBzck Cancei 


A szabály összegző képernyőjéről minden 
kiderül 








mum Megengedő szabály lesz, természetesen az előbb el- 
készített protokollt használjuk, a forrás a VPN karantén 
kliensei, a cél pedig az ISA 2004 Server, azaz a Local 
Host. 
Most pedig elárulnék egy ,randa" dolgot: az eddigi művele- 
teket (szerviz telepítés, regisztrációs adatbázis machináció, 
protokoll definíció, és tűzfal szabály) egyetlen szkripttel is el- 
végezhetjük, mégpedig a ConfigureROSForISA.vbs nevűvel, 
amelyet az útmutató dokumentummal együtt letölthetünk [4]. 
Immár az ISA szerveren sem maradt más dolgunk, minthogy 
engedélyezzük és beállítsuk a karantént. Ehhez navigáljunk 
a Configuration/Networks pontba és kattintsunk egy duplát a 
Ouarantined VPN Clients sorra. 
Az engedélyezés mellett lehetőségünk van megszabni, hogy 
mennyi ideig maradhat a kliens a karanténban, mielőtt levá- 
lasztja az ISA, valamint megadhatunk olyan felhasználókat, 
akikkel kivételezünk, azaz ők egyből a , VPN clients" hálózat- 
ba kerülnek, mindenfajta vizsgálat nélkül. 


(ee ei . ) 


General Ouarantine ] 


By enabling Ouarantine Control, VPN clients connecting to the network are 
held in the Guarantined VPN Client network until client configuration 
reguirements are met and verified. 

These clients have restricted access based on the policy of the network 
until they clear guarantine and are moved to the VPN network. 





[7 Enable Guarantine Control 
C Oyarantine according to RADIUS server policies 
(€ Ouarantine according to ISA Server policies 
[7 Disconnect guarantined users after (seconds): 30] 
Exempt these users from Ouarantine Control: 


Remove I 
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A karantén alapbeállításai 





Mostanra tehát a karantén kész, az őrök felálltak, ám egyelőre 
még arra is lőnek, amire később már nem kell. 


Folytatjuk. . . 
GÁL TAMÁS 
MCT. MCSE. MCSA, MVP 
gtamasatjszki.bu 


[1] http:/ / tinyurl.com/ 6p6Bcy 
[2] http:/ / tinyurl.com/ de2u7 
[3] http:/ /www.saserver:org/ articles 2004vpnserver:html 
[4] http; / tinyurl.com/ 6db8h 
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ACTIVE DIRECTORY - WEBES REGISZTRÁCIÓ (4. RÉSZ) 


Rovatunk e cikkében olyan weblapot készítünk, melynek 


segítségével a felhasználók maguk kérvényezhetik hoz- 


záférési szándékukat a rendszerünkhöz, intranetünkhöz. 


Tehát az önregisztráció alapján automatikusan létrehozzuk 


a felhasználó account-át, és szükséges beállításait az 


AD-ben. Továbbá felépítjük az ellenőrzési, jóváhagyási struk- 


túrát úgy, hogy mindez egy webes felületen könnyedén 


legyen követhető minden szereplő számára. 


em egy helyen találkoztam azzal a problémával, 

hogy olyan regisztrációs eljárásra lett volna szük- 

ség, ahol a leendő felhasználók maguk igényelhe- 
tik a hozzáférést az intranethez valamilyen egyértelmű, de a 
lehető legegyszerűbb ellenőrzési forma mellett. Alaphelyzet- 
ben egy felhasználó létrehozása az Active Directoryban nem 
nagy gona, hisz a rendszergazda pár kattintással létre tudja 
hozni a felhasználó accountját. De mi van akkor, ha a célkö- 
zönség száma olyan méreteket ölt, amit már kattintgatással 
nehéz követni, vagy a nagyszámú felhalmozódó igények miatt 
túl sok az átfutási idő? Ilyen esetben jól jön az automatizmus. 


Virtuális város 

Ahhoz, hogy érthető legyen a feladat, építsünk fel egy átlát- 
ható környezetet elméletben. Képzeljünk el egy átlagos vá- 
rost (vagy önkormányzatot), ahol informatikai intranet (e-ma- 
il, adatbázis, portál, stb. elérési lehetőség) épül az alkalma- 
Zzottak (tanárok, orvosok, szociális és kulturális intézmények 
alkalmazottai, és még sokan mások) számára. Mondjuk a vá- 
ros szívében van egy informatikai központ, ahol a Microsoft 
technológia lakik. Itt gyülekeznek a szerverek, amelyek a már 
említett e-mail, adatbázis, portál, stb. elérési szolgáltatásokat 
nyújtják a leendő felhasználók számára. Képzeljük hozzá, 
hogy a központra online (mondjuk kábeltévé technológián, de 
legalább ISDN csatlakozással, és persze VPN alapon) kap- 
csolódik minden olyan intézmény, ami a városkánk fenntartá- 
sa alá tartozik (tehát iskolák, orvosi rendelők, szociális és kul- 
turális intézmények). Nagyságrendileg legyen ez mondjuk 
100 intézmény (épület) szerteszét a városban, és tartozzon 
ide összességében közel 3000 alkalmazott. Minden egyes 
épületben álljon rendelkezésre mondjuk 5 munkaállomás a 
leendő felhasználók számára. Ugye ez azt feltételezi, hogy a 
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felhasználók felváltva fogják használni a gépeket, és mindig 
azon munkaállomás elé fognak leülni, amelyik éppen szabad 
az intézményükben. Legvégül, de nem utolsó sorban az 
egész projekthez rendeljünk hozzá egyetlen egy informati- 
kust a központban, aki az egyéb munkái mellett még e folya- 
matnak a felügyeletét is megkapja. Röviden: 100 végpont; 
500 munkaállomás; 3000 felhasználó; 1 elcsigázott rendszer- 
gazda. O 


A feladat 

Mivel a kábeltévé és az ISDN technológia még viszonylag kis 
sávszélességet biztosít épületenként, ráadásul még ezen is 
osztozik az 5 munkaállomásunk, ezért mondanom sem kell, 
hogy az egységes információs probléma megoldása, továb- 
bá a nagyszámú felhasználó könnyed kezelése bármely vég- 
ponton, egyértelműen mutatja a kézenfekvő megoldást: we- 
bes kommunikációs felület... 

Készítsünk tehát egy olyan weblapot az intranetünkre, melyen 
kitölthetik a leendő felhasználók saját adataikat, igényelt be- 
jelentkező nevüket, elfogadhatják az EULA (etikai kódex eset- 
leg, vagy belépési szabályok) feltételeit. Az igénylésről küld- 
jünk egy automatikus értesítést levélben annak az intézmény- 
vezetőnek, akihez az igénylő tartozik. Az intézményvezető sa- 
ját hatáskörében döntést hozhasson, hogy hozzájárul-e az 
igénylő regisztrációjához, vagy sem. Erről a hozzájárulásról 
(vagy ,sem"-ről) kapjon egy szintén automatikus levelet az el- 
csigázott rendszergazda, aki szintén a webes felületen utol- 
só láncszemként (ha mindent megfelelőnek talál), egy pipá- 
lással élesítheti az igénylést. Bár sok mindennel lehetne még 
finomítani az eljárást (igénylések visszavonása, törlése, fel- 
függesztése, stb.), de az érthetőség kedvéért maradjunk en- 
nél az egyszerű folyamatnál. 
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Készítsük elő a terepet 

Legelőszöris, mielőtt nekilátnánk a regisztrációs weblap elké- 
szítéséhez, készítsük elő az Active Directory-t. Hozzunk létre 
egy OU-t, amit a fő ágnak tekintünk. Ez alá hozzuk létre az 
első intézményünk OU-ját. Ezen intézményi OU alá pedig há- 
rom olyan OU-t, melyekben gyűlnek az igénylések, az elfoga- 
dott kérelmek, és az aktív felhasználok. Továbbá szükséges 
az intézményi OU alá még egy olyan, ami az intézményhez 
tartozó munkaállomásokat gyűjti. Szükségünk van továbbá 
az intézményvezető felhasználóra közvetlenül az intézményi 
OU alá. Valahogy így: 


E-Z] ROOT 
. E-Z] SCHOOL-01 

: H-(2] Accepted 
(2] Computers 
(21 Ready 
(2] Reguested 





Tehát a ,Reguested" OU-ba kerülnek az új igénylések, ter- 
mészetesen letiltott állapotban, hisz csak a jóváhagyási pro- 
cedúra után élesedhet a felhasználói fiók. Az ,Accepted" OU- 
ba a kijelölt vezető által elfogadott és jóváhagyott felhaszná- 
lók. A , Ready" OU-ba pedig a folyamat végén azok a felhasz- 
nálók kerülnek, akiket a rendszergazda is kipipál, és ezáltal 
aktiválódnak a rendszeren. A , Computer" OU-ba pedig a már 
említett intézményhez tartozó munkaállomások kerülnek. 
Ugyancsak készítsünk a jogosultságok könnyed kezelése ér- 
dekében biztonsági csoportokat a , ROOT"-ba: 


e Vezetők Security Group .. 
€fikérelmezők Security Group .. 


Értelem szerint a , Kérelmezők" csoportba fognak kerülni azok 
az ,account"-ok, akik nevében a webes form-ot kitöltik az 
igénylést elindító leendő felhasználók. Erre a szerepkörre még 
a későbbiekben visszatérünk, de most elégedjünk meg ennyi- 
vel, hogy a biztonsági csoportot létrehozzuk. A , Vezetők" cso- 
portnak pedig természetesen azon felhasználók lesznek tag- 
jai, akik a jóváhagyási folyamat első szintjén döntést hozhat- 
nak az igénylések elfogadásáról, illetve elutasításáról. 


Web.config 

Ahhoz, hogy a megoldásunk könnyedén átalakítható legyen 
saját névtereinkre, vagy akár a későbbi módosítások végett 
is, az alapinformációkat tegyük ki a web.config fájlba. A web.- 
config fájl az IIS szerverünkön az alkalmazásunknak létreho- 
Zott site-ján, annak is a gyökerében helyezkedjen el. Tehát a 
bejegyzés: 


cappSettings? 
c1!-- Az AD-t fenntartó domain gyökerének LDAP 
útvonala --: 


gadd key-"ad.domainldap" value-"DC-COMPANY , 
DC-1ocal"/: 


Az ,add key" tartalmazza a kulcsot, amit a webes alkalmazá- 
sunk hivatkozásként fog használni az adatok kiolvasásához, 


a , value" pedig az értéket. Esetünkben a tartományi nevünk: 
COMPANYIlocal. 

A már említett automatikus levélküldés alapinformációit is érde- 
mes ide kitenni a későbbi könnyed kezelhetőség érdekében: 


c1-- Exchange server adatok--- 

cadd key-"exch. server" value-"SRV-EXCH-O1"/2 
cadd key-"exch.org" value-"COMPANY" /2 

cadd key-"exch.storagegr" value-"First Storage 
Group" /5 


cadd key-"exch.admingr" value-"First 
Administrative Group"/2 


cadd key-"exch.emaildomain" value-"company.hu"/2 


A kulcsok, és azok értékei magukért beszélnek, ezért nem 
részletezem külön őket. Folytatván a sort, az intézményi OU 
struktúrát is kezeljük a konfigurációs fájlban: 


c1-- A felhasználó állapotát tükröző 0U-k nevei 
kis és nagybetű helyesen) Ezek az 0U-k a rootldap 
elérésű ou alatt elhelyezkedő intézményi 0U-kban 
kell hogy legyenek --- 

cadd key-"ad.reguestedou" value-"Reguested"/2 
cadd key-"ad.acceptedou" value-"Accepted"/2 

cadd key-"ad.readyou" value-"Ready"/2 


Ha ránézünk a korábbi ábrára a cikkben, akkor láthatjuk, 
hogy pontosan milyen elnevezéseket tartalmaznak az érté- 
kek. Nem állunk meg, hanem a szükséges biztonsági csopor- 
tokat is definiáljuk: 


c1!-- Annak a csoportnak a neve (domaintcsoport) 
amelyiknek a tagjai új kérelmeket generálhatnak - 
5 


cadd key-"auth. reguesters" 
value-—"COMPANYNKerelmezők"/2 


c!-- Annak a csoportnak a neve (domaintcsoport) 
amelyikben az intézményvezetők vannak--- 


cadd key-"auth. institutionchieís" 
value-"COMPANYWezetők"/5 


Szükségünk van a főág, más néven a , ROOT" definiálására 
is, hogy az alkalmazásunk tudja hol helyezkednek el az intéz- 
ményeink, és azok gyűjtő OU-jai: 


c1-- Az intézményi 0U-k közvetlen szülőjének LDAP 
elérési útja a DC-k nélkül --- 


cadd key-"ad.rootldap" value-"0U-ROOT"/: 


c/appSettings2 


Persze még rengeteg mindent lehet a web.config fájlban de- 
finiálni, de ne menjünk nagyon előre. Az induláshoz éppen 
elég ennyi információ. A lényeg annyi, hogy az értékek 
egyezzenek az AD-ben definiált csoportok és OU-k elneve- 
zéseivel (kis és nagybetű helyesen). Minden definiált érték az 
asp.net-ben a System.Configuration. ConfigurationSettings. 
.AppSettings collection-ban megtalálhatóvá válik. Ezt a col- 
lection-t nevezzük el egy rövidített formában ,cnfg"-nek. 
Tehát ha a web.config fájlban van megfelelő helyen egy 
cadd key-—"abcd" value- valami"/5 paraméter sor, akkor a 
cnfg[/abcd"] értéke "valami" lesz a hivatkozás felhasználásakor. 


A Web form 

Természetesen a fenti web.config fájlban meghatározott ér- 
tékeket mindenki maga változtathatja saját szájíze szerint. Ez 
rugalmasan kezelhetővé teszi megoldásunkat. Most, hogy a 
web.config fájllal egyelőre végeztünk, hozzunk létre egy we- 
bes form-ot az adatok bekérésére. Hozzunk tehát létre egy 
form.aspx fájlt, és a szükséges grafikai keretek, és egyéb kö- 
telező csillivilik között kérjük be a leginkább szükséges ada- 
tokat, amik az AD , account" létrehozásához szükségesek. 
Ilyenek a bejelentkező név, teljes név, keresztnév, veze- 
téknév. 

Kezdjük a teljes név bekérésével valahogy így: 


cSTR2 
cx TD2 


sasp:label id-"txtLabel" 
runat-"server":Teljesénbsp név : 


c/asp:label: 
S/TD2 
cTD width-"1009"2 


Sasp:textbox id-"txtName" tablndex-"1" 
runat-"server" CssClass-"textbox" MaxLength-"500" 
Width-"1009"5 


€/asp:textbox? 
S/TD: 
£/TR2 


A ,txtLabel" lett a , Teljes név". A ,txtName" pedig a kitöltendő 
értéket fogja tartalmazni. A táblázathoz kapcsolódó stílust 
szabályzó adatok azt eredményezik, hogy a szövegbeviteli 
mező kitölti a számára lefoglalt maximális hosszúságot. 
Ugyanilyen módon hozzunk létre további beviteli mezőket, a 
bejelentkezési névhez (txtLoginName), a vezetéknévhez 
(txtLastName) és az utónévhez (txtFirstName). Készítsük el a 
bevezetőben említett EULA oldalt is, aminek az aljára egy , el- 
fogadom / nem fogadom el" választási lehetőséget tegyünk. 
Természetesen úgy, hogy a továbblépés csak az elfogadás 
esetén legyen lehetséges. Itt akár le is zárhatjuk a folyamatot, 
hisz rendelkezésünkre áll minden szükséges információ. 


Az AD account létrehozása 

Mivel minden szükséges adatot bekértünk, nincs más hátra, 
mint létrehozni az AD-ben a bekért adatok alapján az acco- 
unt-ot. Az aspx fájlunkban definiáljunk egy metódust ennek a 
folyamatnak (mondjuk: ADReguest). 


private void ADReguest() 

í 
UserCreated.ADFacade aUser; 
UserCreated.UserData ud; 
aUser — 

(UserCreated. ADFacade) Session["adgateway"] ; 
ud - new UserCreated.UserData ( ) ; 
ud.Loginname - txtLoginName.Text; 
ud.FirstName - txtFirstName.Text; 
ud.LastName - txtLastName .Text; 
ud.FullName - txtName.Text; 


A metódusunk mindjárt az elején hivatkozik egy , UserCrea- 
ted"-re ami egy dll, és a segítségével létrehoz két objektumot. 
m Az, ADFacade" dolga lesz elvégezni a az AD műveletet. 
m Av, UserData" pedig tartalmazza a szükséges adatokat. 


Az ,ADFacade" típusú ,aUser" objektumnak készítünk egy 
, CreateReguest" metódust, amihez szükséges paraméternek 
a másik objektum (UserData) szolgál adattal. Ez a belső , Cre- 
ateReguest" metódus fogja létrehozni az AD , account"-ot a 
kijelölt helyen, ha minden adat megfelelően rendelkezésére 
áll. Készítsük el ezt a UserCreated.dll-t, ami egy teljesen nor- 
mális dll kiindulási helyzetben. Helyezzük el a , site"-unk , bin/" 
könyvtárába. A már fentebb említett, és a meghívott , ADFa- 
cade" metódus által életre keltett objektum belső metódusá- 
nak (ez a ,CreateReguest" metódus) az alábbi fontosabb 
kódrészleteket kell tartalmaznia feladatához: 


public string CreateReguest(string instituteDN, 
UserData ud) 


( 


DirectoryEntry root, container, user; 
this.lastModifiedUser — ud; 
container - new DirectoryEntry ( "LDAP : / /0U-" 4 


reguestedoOU § "," 4 instituteDN) ; 


user - container.Children.Add("cn-" 4 
ud.Loginname, "user" ); 


user .Properties[("samAccountName" ] . 
Add(ud.Loginname) ; 


user.Properties["sn"] . Add(ud. FirstName ) ; 
user.Properties["givenName"] . Add(ud. LastName ) ; 


user .Properties["displayName"] . Add(ud . FullName ) ; 


Mint fentebb említettem, az ,ADFacade" metódus paraméte- 
reként a , UserData" objektum szolgál. Tehát le kell kérdez- 
nünk az AD-t a szükséges adatok tekintetében: 


public UserData getUserData(DirectoryEntry 
useroObject) 


( 


UserData retval; 
if (userObject —— null) 
Ű 


return null; 


o 
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else 


( 
retval — new UserData() ; 


this.lastModifiedUser — retval; 


ir 
(userObject.Properties [/samAccountName" ] . Count?0) 


retval.Loginname — 
userObject.Properties ( "samAccountName" ] [0] . ToStrin 


g0; 
6 
(userObject.Properties [/displayName"] . Count20) 


retval.FullName -— 
userObject.Properties ([ "/displayName"] [0] . ToString() 


if(userObject.Properties["sn"] . Count?0) 


retval.FirstName -— 
userObject.Properties["sn"]) (0] . ToString() ; 


if(userObject.Properties[( "givenName" ] . Count?0) 


retval.LastName — 
userObject.Properties [ "givenName" ]) [0] . ToString( ) ; 


Hi 


A fenti kódrészlet jól mutatja a lekérdezéseket. Ennek alap- 
ján, és az előző kódrészletek tanulmányozásával könnyen 
kiegészíthetjük munkánkat olyan információk felhasználásá- 
hoz, mint mondjuk a lakcím, felettes, stb. információk bekéré- 
séhez, lekérdezéséhez, és a felhasználó létrehozásakor a 
megfelelő AD helyek kitöltéséhez. 

Most fújjuk ki magunkat egy kicsit. Előkészítettük az Active Di- 
rectory-t a felhasználói igénylések fogadására. Készítettünk 


Tanfolyami akciók! 


Windows 2003 tanfolyamhoz 3096 kedvezmény az Exchange 2003 


és SMS 2003 tanfolyamok árából! 
Kedvezményes MCSD fejlesztői tanfolyami csomagok. 


Új tanfolyamok! 


SharePoint Portal Server 2003, Microsoft Operations Manager 2005, 
ISA 2004 Projektmenedzsereknek egynapos, technológiai áttekintést nyújtó előadások. 


Microsoft SA oktatási kuponok beválthatók 


biztonsági csoportokat azon vezetők részére, akik jóváhagyá- 
si jogosultsági körrel fognak rendelkezni. Átnéztük, hogyan 
kell készíteni form-ot adatok bekéréséhez webes technoló- 
gián. Végül, de nem utolsó sorban, készítettünk egy mini dll- 
t, aminek két metódusa segítségével létre tudunk hozni az 
AD-ben , account" -ot. 

Már csak egy kérdés maradt hátra a regisztrációs folyamat- 
hoz, mégpediglen az, hogy miként fér hozzá a kérelmező fel- 
használó egyszerűen a kitöltendő form-hoz, ha még nincs is 
hozzáférése a rendszerhez (hisz épp most igényelné). Erre 
több jó megoldást is el tudok képzelni. Mondjuk kinevezünk 
egy adott munkaállomást, amin egy felügyelt felhasználó se- 
gítségével ki lehet tölteni a form-ot. Vagy esetleg ki lehet rak- 
ni egy publikus weboldalra az igénylési lapot, hisz úgyis jó- 
váhagyással lehet csak bekerülni a rendszerre. Mi most ma- 
radjunk egy ritkán használt megoldásnál. Tegyük azt, hogy 
minden intézményi OU alá hozzunk létre (a vezetői felhasz- 
náló mellé) egy olyan másik felhasználót akinek , guest" jogo- 
sultsága van a tartományra. Továbbá mindegyik csak a saját 
intézményi munkaállomásaira tudjon bejelentkezni. Ezek 
lesznek a , Kérelmező" felhasználók. Bejelentkező nevük és 
jelszavuk lehet nyilvános az adott intézményen belül. A trükk 
csupán annyi, hogy a bejelentkezéskor kicseréljük a shell-t az 
IE-re, ami meghívja automatikusan a kitöltendő form-ot teljes 
képernyőn. Így nem lehet semmit rosszalkodni a kitöltésen túl 
a bejelentkezés alatt. Továbbá, ha bezárjuk ez IE-t, akkor az 
egyúttal a Windowsból való kijelentkezést is vonja maga után. 
Az, hogy mindezt hogyan is kell megoldani, a következő 
szám cikkére marad. Ahogy az is, hogy miként küldjük a kér- 
vényezés lezárásakor az automatikus e-mail üzeneteket a 
megfelelő vezetőnek jóváhagyásra, és hogyan kerülnek át a 
létrehozott , account"-ok az egyik OU-ból a másikba. 

Addig is aki ennél többet szeretne tudni a témáról, az bátran 
keresse fel az IOSOFT - John Bryce Oktatóközpont munka- 
társait... 


FARKAS VIKTOR 

TOSOFT - Jobn Bryce Oktatóközpont 
fa rkas. vabotmail.com 

MCSE, MCT, HP-ASE 


IOSOFT- John Bryce 
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OKTATÓKÖZPONT KFT. 
Cím: ! jJapest 


Web: wwv 


Telefon: 2 
E-mail: tanfolyar 





Assurance 


Nálunk beválthatja a Microsoft Software Assurance licenc vásárlása után kapott tereneg 


oktatási kuponjait! 


További információkért hívja munkatársainkat! 
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SSL-TANÚSÍTVÁNYKÉRÉS ISA SERVER SZÁMÁRA 
AVAGY MINEK NEKEM IIS A TŰZFALRA? 


Ebben a cikkben leírom, hogyan lehet megvalósítani egy 


külső hitelesítésszolgáltató által kibocsátott tanúsítvány 


segítségével a biztonságos (SSL) kapcsolatot azISA 


Server 2004 és a külvilág között. 


ejárt az SSL-tanúsítványunk. Ez jó alkalomnak kínálko- 

Zott arra, hogy lépésről lépésre leírjam, hogyan is tesz 

szert az ember egy vadonatúj SSL-tanúsítványra 
. mondjuk a NetLocktól. A kihívás abban rejlik, hogy a tanúsít- 
ványkérelmet fájlban kell benyújtani a NetLock felé, amit sem 
a Windowsban lévő Certificates MMC-konzol, sem az ISA 
Server nem tud létrehozni. Ellenben az IIS igen. Ha még ed- 
dig nem volt IIS fent az ISA Serveren, hát most — kényszerből, 
átmenetileg - fel kell rá telepíteni, és ott is kell hagyni mindad- 
dig, amíg az egész folyamat le nem zajlik, vagyis körülbelül 
három hétig! 


IIS telepítése és tanúsítványigénylés 
készítése 

Miután feltettünk egy alap IIS-t (ennek lépéseivel nem untatnám 
a tisztelt olvasókat), át kell állítanunk, hogy melyik portot hasz- 
nálja a Default Web Site, mivel a szokásos 80-as porton az ISA 
csücsül. Az alábbi ábrán látható, hogy hol lehet ezt megtenni 
(én a 81-es portot választottam a 80-as helyett). Amíg ezt meg 
nem tesszük, a Default Web Site-ot el sem lehet indítani! 















Default Web Site (Stopped) Properties 










Documents — ] Directory Security  ]  HTTPHeaders ]  CustomErrors 
Web Site Performance ]  ISAPIFiters — ] — Home Directory 
"web site identification 

Description: fDefautwebste 

IP address: [arunassimegy 5] Advanced... [ 
ree a 





Connections 
Connection timeout: 
[7 Enable HTTP Keep-Alives 


120 seconds 





Enable logging 
Active log format: 


W3C Extended Log File Format :7 Properties... I 





Átállítjuk a Default Web Site által használt 
portot 


Ezután már elindítható a site. A következő lépés máris a tanú- 
sítványkérés lesz. Menjünk vissza a Default Web Site tulaj- 
donságlapjára, és válasszuk ki a Directory Security lapot! A 
, Server Certificate. . ." gombon kattintva elindul a tanúsítvány- 
varázsló, melyben a ,Create new certificate" -NEXT5 ,Pre- 
pare the reguest nowbut send it later" -NEXT: irányban ha- 
ladva arra kérjük az IIS-t hogy ne keressen egy közelben lévő, 
online CA-servert, hanem a tanúsítványigénylésünket tegye 
félre szebb napokra. 

A következő lapon a tanúsítvány becenevét (display name), 
az RSA-kulcs hosszát (mondjuk 1024 bit) és a CSP-t (Crypto 
Service Provider, a kulcsgeneráló és tároló komponens) állít- 
hatjuk be, ezek közül a becenév az, ami mindenképpen mó- 
dosításra szorul, tekintve hogy nincs kitöltve. Akinek nem elég 
az 1024 bit, itt avatkozzon be, aki pedig nem szeretné, hogy 
a kész RSA-kulcspár az All Users profilban tárolódjon, izzítsa 
be a Smart Cardját, és állítsa be CSP-nek azt. Click -NEXT5. 
A következő oldalon az Organization mezőt a cégbírósági be- 
jegyzésnek megfelelően kell kitölteni, ellenkező esetben a ta- 
núsítvány kibocsátója nem fogadja el az igénylésünket! Click 
SxNEXT:. 

A következő lapot megint idemásolom, mert ez létfontosságú 
adatot tartalmaz: milyen néven fognak minket megtalálni a 
kuncsaftjaink a weben? 


IIS Certificate Wizard 
Your Sites Common Name 
Your Web sites common name is its fully gualified domain name. 








"Type the common name for your site. If the server is on the Intemet, use a valid DNS 
name. If the server is on the intranet, you may prefer to use the computers NetBIOS 
name. 


If the common name changes, you wil need to obtain a new certificate. 








A DNS-zónába felvitt név megadása 
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Ha ezt a mezőt elrontjuk, a kész tanúsítvány ellenőrzésekor 
állandóan hibaüzenetet fogunk kapni, hogy a tanúsítványban 
szereplő név és a hivatkozott név eltér. Ebből egyébként saj- 
nos azis következik, hogy az SSL-es webhelyeket csak és ki- 
zárólag az itt megadott néven érhetjük el hibamentesen, de 
például IP-címmel már nem! Rövid névvel szintén nem! Csak 
úgy, ahogy itt megadtuk, punktum. 

Második fájdalmas következmény: ha egy gépen több külön- 
böző (nevű) site fut, sajnos nem tudnak osztozni a tanúsítvá- 
nyon, mindegyiknek saját SSL-tanúsítványra van szüksége — 
az eltérő név miatt. Click -NEXT5. 

A következő lapon adjuk meg a településünk és megyénk ne- 
vét. Click -NEXT:. Click -NEXT5. Click cFINISH:. 

Az eredmény a CACERTREG. TAT fájlba került, ami nem más, 
mint egy PKCS10-es formátumú fájl (ennek később lesz né- 
mi jelentősége). Hát ez még nem a NetLock! Most további 
küzdelmek várnak ránk, ezúttal azonban nem az IIS-sel, ha- 
nem a szolgáltató webalkalmazásával kell megbirkóznunk. 


Az igénylés benyújtása 

Általában nem javasolható, hogy az ISA, vagy bármelyik pub- 
likált szerverünkről az internetet böngésszük, de most mégis 
ez következik. Noha magát az igénylést még elintézhetnénk 
egy másik gépről (átvisszük a CERTREO.TXT-t), a kész tanú- 
sítvány letöltését már mindenképpen itt kell elvégeznünk, hi- 
szen az igénylés nem csak ebből a fájlból áll, hanem a máris 
legenerált RSA-kulcsokból is, akik itt, ezen a gépen várnak 
minket! 

A következőkben - részrehajló módon - a NetLock Kft.-nél 
követendő lépéssorozatot mutatom meg, tulajdonképpen 
azért, mert úgysincs Magyarországon még egy hitelesítés- 
szolgáltató, akinek a szervertanúsítványát bármelyik vadide- 
gen weblátogató el tudná fogadni, tehát gyakorlatilag nincs 
konkurrencia, aki megsértődhetne. Esetleg a VeriSign, de ne- 
kik nem szólunk a cikkről. 

A NetLock-ügyfélmenü létrehozásával ismét nem fárasztom 
Önöket, klikk, klikk, jelszó, klikk, ok és hasonlók után eljutunk 
a tanúsítványigénylési weblaphoz: 






Szervezeti tanusítványok Szerver tanusítvanyok 





SSL-tanúsítvány igénylése PKCS10-es fájllal 


o 


Válasszuk ki a Szervertanúsítványok közül az ott árválkodó 
egyetlen árucikket, a Web szerver tanúsítványt. Nini! 
PKCS10-es formátumban várják a tanúsítványigénylést! Ne- 
künk pont ilyenünk van! Nosza, igényeljünk tanúsítványt! A 
következő lapon fel kell vinnünk a webkiszolgálónk publikus 
nevét, mégpedig pontosan ugyanazt a nevet, amit korábban 
a tanúsítványkérelemben is megadtunk! 

Most egy igen bonyolult lépés következik: a létrehozott szer- 
ver rekordján el kell találnunk az egér bal gombjával a jobbra 
mutató (bekarikázott) pici kék háromszöget! Ez valami intelli 
gencia- vagy koncentrálóképesség-teszt lehet, aki erre nem 
képes, ne is álmodjon SSL-tanúsítványról! 
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997. Kérjük válasszon a szerver regisztrációk közül a kis kék nyil segítségével! 


Kiválasztjuk az új kiszolgálót a ,, többi" közül 


A következő ablakba be kell másolni a CERTREG.TAT teljes 
tartalmát, ami valahogy így fog kinézni: 
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Tovább 


Feltöltjük a tanúsítványkérelmet 
(CERTREG.TXT) 


Ezután a tanúsítvány , erősségét" kell kiválasztanunk (A, B 
vagy C osztály), vállalati kiszolgálókhoz minimum a B osztály 
ajánlott, a fizetés, a belépési nyilatkozat és az egyéb iratok 
benyújtása, majd 3 hét szünet következik. 


3 hét múlva 

Miután kivártuk a szükséges ügyintézési-fizetési-időhúzási 
időszakot, értesítés kapunk a NetLocktól a tanúsítvány elké- 
szültéről. 

(Kis közjáték: szerencsétlen módon én ebben a periódusban 
egy hétig külföldön voltam, miközben idehaza kiderült, hogy 
a cégbírósági kivonat és egyéb papírok mellé kell még egy 
ingyombingyom is, amit egy hétig nem tudtam produkálni. Így 
a három hétből négy és fél lett, a meglévő, korábbi eredeti 
SSL-tanúsítványunk pedig szép csendben lejárt. Nem jött 
össze a ,rolling update", egy hétig szünetelt az SSL a 
www.netacademia.net-en. Tanulság: aki hosszadalmas shop- 
pingba kezd, menet közben ne utazzon sehova!) 

Az értesítőlevélben található linken kattintva a kész tanúsít- 
vány letöltési lapjára repülünk: 














Tanúsítvány felfüggesztése 


Tanúsítvány megújítása 





A kész tanúsítvány letöltése 


A mentés eredménye egy .CER kiterjesztésű x.509 típusú ta- 
núsítvány lesz, benne a digitálisan aláírt publikus kulcsunk- 
kal. Ezt most össze kell , pároztatni" a magánkulccsal, ami há- 
rom hete erre az aktusra vár. (A magánkulcs természetesen 
nincs benne a letöltött .CER fájlban, mert ha benne lenne, 
megsértettük volna a PKI egyik legfontosabb szabályát: ,ma- 
gánkulcs soha nem mehet át a hálózaton". Ezért kell most se- 
gítenünk, hogy a kulcspár két része egymásra találjon.) 
Nemcsak a magánkulcs, hanem az IIS is három hete erre vár, 
tehát ha elindulunk az SSL -varázslóval (lásd fent), ezalkalom- 
mal másik, kiéheztetett arcát mutatja: 


Pending Cei te Reguest 










A pending certilicate reguest is a reguest to which the certification 
authority has not yet responded. 


A certificate reguest is pending. What would you íike to do? 


6 iszssztiz pending tegvestardínztaltbe cefet 
€ Delete the pending reguest 
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A letöltött tanúsítvány ,megetetése" az IIS-sel 


Itt természetesen a , Process. .." ágon haladunk tovább, mert 
a , Delete..." egész eddigi munkánkat hajítja ki, ami távolról 
sem lehet a célunk. Az IIS Certificate Wizard az összepárosi- 
tott nyilvános- és magánkulcsot a számítógép tanúsítványtá- 
rába helyezi el, amit az ISA Server is elér. Utolsó lépésként az 
ISA Serverben létre kell hozni egy Web Listenert a 443-as 
portra, és meg kell neki mutatni, hogy melyik tanúsítványt 
használja. Erről is készítettem fotót, ezzel zárnom a cikket is. 
Van azonban még két fontos dolgunk, mielőtt kényelmesen 
hátradőlhetnénk: 

4. Ha az IIS-t kizárólag azért telepítettük az ISA Serverre, 
hogy a tanúsítványkérésben segítségünkre legyen, 
most már szedjük le. 

2. A rwxész tanúsítványt magánkulcsostól-mindenestől ex- 
portáljuk ki egy jelszóval védett .PF-X fájlba, írjuk CD-re 
vagy flopira, és tegyük el biztos helyre. Akik szeretik a 
kalandot, rejtsék el szteganografikus módszerrel 
mondjuk egy képben vagy egy MP3-ban, esetleg EXE 
fájlban a PFX fájlt, mert ott biztosan senki nem fogja 
keresni, és ezt tegyék ki CD-re. Így még ha lába is kél 
a lemeznek, mindenki azt fogja hinni, hogy azon csak 
vacak zene, vagy unalmas ISA-screenshotok vannak. 
Mint pl. az alábbi: 
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AzISA web listener megkapja a kulcsot 


Főri MARCELL 

marcellfeonetacademia. net 

A szerző a NetAcademia vezető oktatója 
1 Net Acadi tő oktat 


MCSE. MCT. MCDBA, MZ/X 


Szeretnéd megtudni, mennyi lenne a fizetésed, ha: 


Letennél egy nyelvvizsgát? 
MCSE, MCDBA vagy MCSD 
képesítést szereznél? 

Piripócsra költöznél? 

Nővé operáltatnád magad? 
Elhappolnád a főnököd állását? 
Idősebb/fiatalabb lennél 10 évvel? 


Végzettség: 


Lekárezési feltételek 


A feltételeknek 99 rekord felelt meg. 
A számított átlagfizetés: 241 964 Ft 


ezeti 


wyelv szerinti hant áss 


egyetem 


Nyelvtudás 














FizuFigyelő alkalmazásunkban közel háromezer (2005 május 1-ig: 2908!) informatikus bevallott fizetési és 
demográfiai adatai alapján végezhetsz kutatást. Látogass meg minket a www.netacademia. net/fizetes címen! 














, Eredeti VVindovws 
— Valódi Előny" program 


A Microsoft e2e00S februárjában £e5 országra, köztük Magyaror- 
szágrais kiterjesztette a Windows Genuine Advantage (VVCG5A) — mag- 
yar nevén , Eredeti Windows - Valódi Elöny" — programot, melynek 
célja az ilegális szoftverhasználat visszaszorítása. Magyarországon 
február óta 11 ezerfelhasználó tesztelte VVindows szoftveré- 








nek eredetiségét. 


A nem hivatalos forrásokból származó, legálisnak hitt illegá- 
lis szoftverek megvásárlása évről évre több millió egyéni fel- 
használónak és vállalatnak okoz károkat, hiszen ezek gyak- 
ran biztonsági réseket vagy kártékony kódokat is tartalmaz- 
nak, vagy egyszerűen csak hiányosak. Az , Eredeti Windows 
— Valódi Előny" kezdeményezés keretében lehetőség nyílik a 
szoftverek eredetiségének ellenőrzésére. A tesztelésen túlju- 
tott jogtiszta Windowst használók számára a Microsoft ingye- 
nes hozzáférést biztosít különböző népszerű programokhoz, 
illetve további előnyökhöz juttatja az egyéni és vállalati fel- 
használókat. 

Az , Eredeti Windows - Valódi Előny" kezdeményezés sikerét 
jelzi, hogy az angol nyelvterületen elsőként elindított Közpon- 
tot alig öt hónap alatt 5 millió felhasználó kereste meg. Ma- 
gyarországon május elejéig több mint 30 ezer felhasználó lá- 
togatott el a Letöltő Központon keresztül az , Eredeti Windows 
- Valódi Előny" tájékoztató honlapjára, közülük 11 ezren vet- 
ték igénybe a program által biztosított eredetiség-vizsgálatot. 
A jogtiszta Windowst használók által leginkább kedvelt, in- 


gyenesen letölthető alkalmazások a Windows Media Player 
10 és a Photo Story 3 voltak. 
A Microsoft, a legális Windowst használók számára, ezen felül 
olyan hasznos és fontos szoftverekhez biztosít ingyenes hoz- 
záférést, mint például a Windows 98, Windows NT és Win- 
dows 2000 rendszerekkel is használható Media Player 9, a 
valutaváltóval kombinált számológép és a Windows Media 
kódoló 9-es sorozata. 
2005 második felétől a kezdeményezés egy újabb fázisához 
érkezik. Ennek keretében a programban való részvétel köte- 
lezővé válik azoknak, akik a Microsoft Letöltő Központ 
(http: //www.microsoft . com/downloads / ) 
szolgáltatásait igénybe kívánják venni. Ebben az időszakban 
az eredeti Windowst használók számos új alkalmazáshoz 
kapnak ingyenes hozzáférést a Letöltő Központon keresztül. 
A Windows Update 
(http: //update .microsoft .ncom/ ) 
webhelyek biztonsági frissítései továbbra is mindenki számá- 
ra elérhetőek maradnak. 


Visual Studio 2005, SOL. 
Server 2005 — új verziók 


A Microsoft áprilisban a CTP ügyfelekhez (Community 
Technology Preview — Közösségi Technológiai Előzetes) eljut- 
tatta a Visual Studio 2005 Beta 2, a Microsoft .NET Framework 
2.0 Beta 2 és az SOL Server 2005 változatait, ezzel is jelezve, 
hogy elérkezett a fejlesztési ciklus utolsó szakaszához. A há- 
rom termék együttese nagymértékben integrált fejlesztői és 
adatkezelő felületet biztosít. A Microsoft bejelentette a Microsoft 
Go-Live licencprogramot azon ügyfelek számára, akik azonnal 
telepíteni kívánják a Visual Studio 2005 és az SOL Server 2005 
Express Edition segítségével készült alkalmazásokat. 

Az ügyfelek visszajelzéseire reagálva a Microsoft kiegészítette 
a Microsoft .NET Framework 2.0 Beta 2 végfelhasználói licenc- 
szerződést (End User License Agreement — EULA), amelynek 
értelmében az ügyfelek a Beta 2 kiadás bázisán készült alkal- 
mazásokat éles működési környezetben is használhatják. Ez a 
Go-Live licencnek nevezett függelék nem csak az ASP.NET 
webes alkalmazások bevezetését engedélyezi, hanem első íz- 
ben biztosít Go-Live licencet a WindowsForms, a Visual Studio 
Tools for Office-alapú alkalmazások, és a jelenlegi valamint a 
jövőben megjelenő Windows Mobile alapú eszközöket támo- 
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gató .NET Compact Framework alkalmazások számára is. 
Professzionális fejlesztők ún. Visual Studio 2005 Beta 
Experience program keretében férhetnek hozzá a Beta 2 vál- 
tozatokhoz: 

http: //www.microsoft . com/betaexperience . 
A .NET-el még csak most megismerkedni szándékozók, va- 
lamint a programozással hobbi szinten foglalkozók számára 
a Beta 2 kisebb, ún. Express változatai a legmegfelelőbbek. 
Ezek szabadon letölthetők a webről az alábbi linken: 

http: //1lab.msdn.microsoft.com/express/ . 
A Go-Live programról további információk: 

http: //msdn.microsoft . com/vs2005/golive 
Az SOL Server 2005 Express Edition használatba vételéről és 
a hozzá kapcsolódó Go-Live licencprogramról további infor- 
mációk az alábbi webhelyen találhatók: 

http: //1lab.msdn.microsoft . com/express/sg1/default . aspx 
A Visual Studio 2005 és SOL Server 2005 erőforrások teljes 
listája megtalálható az alábbi weboldalon: 

http: //lab.msdn.microsoft . com/vs2005/resources/ 
learning/default.aspx 
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A NETÁCADEMIA KET. 
a 2005- -ÖS tanévre a következő 
tanfolyamokat ajánlja: 


RENDSZERGAZDAI TANFOLYAMOK 
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VB NTÉ Windows Script Host Essentials 
- Using WM 


2 3 


Designing and Managing a Windows Public 
Key Infrastructur 


Designing Security for Microsoft Networks 


Oktató: Fóti Marcell 
(MCSE, MCSA, MCT, MCDBA - 1995 óta) 





FEJLESZTŐI TANFOLYAMOK 


Objektumorientált tervezés Design Patternekkel 


2030 


j Riportok készítése az SOL Server 2000 Reporting Services-szel 








2 734 
Updating Your Database Development Skills to Microsoft SOL Server 2005 





Oktató: Soczó Zsolt (MCSE, MCSD, MCDBA, MCAD, MCT, MVP) 


Jelentkezni 06 1 472-1215-faxszámon vagy az on-line jelentkezési lap kitöltésével lehet. 
A letölthető és az on-line jelentkezési lapot a http://www.netacademia.net címen találja. 


NetAcademia Oktatóközpont 





1062 Budapest, Andrássy út 62. " Telefon: 06 1 472-1214 " Fax: 06 1 472-1215 


"A tanfolyam a szakképzési hozzájárulás terhére elszámolható (A NetAcademia Kft. nyilvántartási száma a Fővárosi Munkaügyi 
Központ által kiadott értesítés szerint: O1-0707-O4.). 
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